ジャンプ先

刑事司法情報サービス(CJIS)

米国連邦捜査局(FBI)の刑事司法情報サービス(CJIS)部門は、Google Cloud のようなクラウド サービス プロバイダ(CSP)を使用する際に刑事司法情報(CJI)を保護する方法について、連邦、州、地方の機関に提供しています。

Google Cloud は、Google Cloud の Assured WorkloadsGoogle Workspace の Assured Controlsを介して CJI を保護および保管するためのセキュリティ制御を提供します。法執行機関は、対象範囲内の Google Cloud サービスに対してこれらの制御を実装することで、CJIS セキュリティ ポリシーを遵守できます。

Google の CJIS コンプライアンス

FBI CJIS プログラム担当オフィスは、CJI の保護に関する具体的なガイダンスを提供する数多くのアーティファクトを公開しています。 主要ドキュメントは FBI CJIS セキュリティ ポリシーです。CJI を保護して保護するために必要な最小セキュリティ要件が詳しく説明されています。

FBI は、NIST SP 800-53 リビジョン 4 で見つかったセキュリティ管理への CJIS 要件のマッピングも提供しています。

CJIS をサポートするすべての Google Cloud サービスは、CJI の保護に必要な要件を満たすことができます。また、Google は、FBI のマッピングに含まれる NIST 800-53 規制への準拠を確認した、独立した第三者機関による評価機関から証明書を取得しています。

Google の CJIS コンプライアンスについて詳しくは、お問い合わせフォームから Google Cloud セールスチームにお問い合わせください。

Google の CJIS 機能

Assured WorkloadsAssured Controls を通じて利用可能な CJIS スコープ サービスでは、CJIS セキュリティ制御を実装して、お客様がビジネスニーズを満たすために Google Cloud と Google Workspace の機能を利用できるようになります。

州、地方、連邦の法執行機関および刑事司法機関(およびその請負業者)は、以下の目的でサービスを利用できます。

  1. CJIS のワークロードを米国に制限するガードレールを設定する。
  2. テクニカル サポート スタッフを米国内に配置し、Google と居住地域の CJIS 機関の両方によるスクリーニングを行う。
  3. FIPS-140-2 準拠の暗号化を保存時と転送時に暗号化する。
  4. 顧客管理の暗号鍵(CMEK)を使用する。
  5. 担当者のアクセス制御を実装する。
  6. CJIS 要件などに対応するために、デベロッパー コンプライアンス制限と論理セグメンテーションを適用する。

米国内のすべての Google Cloud 社員が Google のバックグラウンド チェックの対象となりますが、Google は CJI データの機密性を認識しています。そのため Google Cloud では、CJIS のセキュリティ ポリシーで義務付けられている、指紋ベースの FBI のバックグラウンド チェックと犯罪歴のバックグラウンド チェックに合格した米国人スタッフのみに、テクニカル サポートを制限しています。

各居住地域は、CJI の支援者を自身で管理できるよう、独自のバックグラウンド チェック プロセスを独自に提供することもできます。

CJIS セキュリティ ポリシー v5.9.1 と v5.9.2 の主な更新

FBI は 2022 年後半に CJIS のセキュリティ ポリシーを v5.9.0 から v5.9.2 に更新しました。変更は、FBI が公開している要件コンパニオン ドキュメントで確認できます。

最新のポリシーでは、いくつかの点で大幅な更新が行われています。具体的には、メディア保護、人事スクリーニング、ID とアクセスの管理、認知度向上とトレーニング、システムと情報の整合性に関するガイダンスが更新され、NIST 800-53 コントロールとより密接に関連しています。

また、今回の変更に関しては、いくつかの点がよく誤解されます。(以前のバージョンのポリシーに存在していた)付録 G.3 では、シナリオ 2 で、CJI が CSP の環境で復号された場合、環境にアクセスできる管理担当者が、「CJIS のセキュリティ ポリシーに記載されているとおり、セキュリティ意識向上トレーニングと担当者のセキュリティ管理の対象となっている」必要があります。これは、CJIS 機関が暗号鍵の管理を担当している場合でも当てはまります。

Google は、顧客を十分に保護するため、顧客管理の暗号鍵(CMEK)と担当者のセキュリティ管理を使用して、CJIS のセキュリティ ポリシーの認可を受け、要件を満たしている米国在住の米国人に CJI へのアクセスを制限します。

よくある質問

CJI を扱う組織(Google Cloud など)は、その企業のサービスを使用して CJI を保護することを目的に、CJIS セキュリティ追加条項を締結する必要があります。本追加条項は、Google Cloud が CJIS を遵守したセキュリティ プログラムの維持を確約することを米国司法長官によって承認されたテンプレート化された契約です。

代理店が CJI のライフサイクル全体をどのように保護するかについては、CJIS のセキュリティ ポリシーもご覧ください。

Google Cloud は、州や地方自治体と連携して CJIS のワークロードを支援することに専念しています。お客様は、Google Cloud を使用して、米国全体で CJI を含むワークロードを実行できますが、Google Cloud は、次の居住地域で CJI を保護する権限があります。

フロリダ

マサチューセッツ

オクラホマ

Pennsylvania

Tennessee

ユタ

プロセスを開始して Google Cloud CJIS セキュリティ追加条項にアクセスするには、お問い合わせフォームから居住地域の Google Cloud Platform セールスチームにお問い合わせください。

この追加条項では、Google Cloud が CJIS のセキュリティ ポリシーをどのように遵守しているか、それぞれの当事者の責任、対象となるクラウド サービス、その他の重要な条項について、詳細な情報を提供しています。

Google は、州の CJIS システム庁(CSA)または CJIS のセキュリティ責任者(CSO)との間で CJIS セキュリティ追加条項に署名します。Google、または居住地域の CSA または CSO からのコピーをリクエストすることができます。

さらに、Google はお客様に独立した監査機関が準備したコンプライアンス レポートへのアクセスを提供しており、お客様が関連監査範囲に適したセキュリティ管理(NIST、ISO、SOC など)を実装していることを検証できます。

お客様は、Google のセキュリティ管理を監査して、CJIS のセキュリティ ポリシーの要件を満たしていることを確認できます。

はい。お客様は、米国内で Google の主要サービス用のリソースを構成できます。Google は、サービス固有の規約に従って、選択されたリージョンにのみデータを保存します。

Google は、パブリック クラウド インフラストラクチャに対する多層セキュリティ アプローチに投資し、暗号化や強力な人員データアクセス制御などの機能を提供しています。 これにより、CJIS のセキュリティ ポリシーの厳しい要件を満たすために必要な強力なセキュリティ体制が確立されるだけでなく、お客様がパブリック クラウドの継続的なプロダクト イノベーションを活用できるようになります。

Google は、前述の制御(およびその他多く)の実装で FedRAMP Moderate 要件と FedRAMP High 要件に準拠し、合同承認委員会(JAB)によって承認されています。

いいえ。Google は顧客管理の暗号鍵と人員データアクセス制御を利用して CJI アクセスを制限するため、Google Cloud の CJIS に対する Confidential Computing は不要です。

ただし、Google が CJIS の顧客向けに安全で制限された環境に加えて、セキュリティ管理の補助として Confidential Computing を引き続き利用できます。

Google Cloud は、本番環境で BoringCrypto(証明書 3678)と呼ばれる、FIPS 140-2(FIPS 140-2 コンプライアンス ページを参照)の検証済み暗号化モジュールを使用します。これは、お客様への転送中のデータおよびデータセンター間で転送中のデータと、保管中のデータのどちらも、デフォルトで FIPS 140-2 認証取得済みの暗号方式によって暗号化が行われるということを意味します。

FIPS 140-2 認証取得済みのモジュールは Google の BoringSSL ライブラリの一部です。これにより、お客様は Google が管理する鍵、顧客管理の暗号鍵、外部鍵管理など、さまざまな Cloud Key Management オプションを選択しながら、FIPS のコンプライアンスを維持できます。Google Cloud では、保存中および転送中のデータにこのレベルの暗号化をデフォルトで使用しているため、FIPS 140-2 の暗号化を継承し、プロダクトやサービスを FIPS モードで実行する必要はありません。