刑事司法情報サービス(CJIS)
米国連邦捜査局(FBI)の刑事司法情報サービス(CJIS)部門は、Google Cloud のようなクラウド サービス プロバイダ(CSP)を使用する際に刑事司法情報(CJI)を保護する方法について、連邦、州、地方の機関に提供しています。
Google Cloud は、Google Cloud の Assured Workloads、Google Workspace の Assured Controlsを介して CJI を保護および保管するためのセキュリティ制御を提供します。法執行機関は、対象範囲内の Google Cloud サービスに対してこれらの制御を実装することで、CJIS セキュリティ ポリシーを遵守できます。
Google の CJIS コンプライアンス
FBI CJIS プログラム担当オフィスは、CJI の保護に関する具体的なガイダンスを提供する数多くのアーティファクトを公開しています。 主要ドキュメントは FBI CJIS セキュリティ ポリシーです。CJI を保護して保護するために必要な最小セキュリティ要件が詳しく説明されています。
FBI は、NIST SP 800-53 リビジョン 4 で見つかったセキュリティ管理への CJIS 要件のマッピングも提供しています。
CJIS をサポートするすべての Google Cloud サービスは、CJI の保護に必要な要件を満たすことができます。また、Google は、FBI のマッピングに含まれる NIST 800-53 規制への準拠を確認した、独立した第三者機関による評価機関から証明書を取得しています。
Google の CJIS コンプライアンスについて詳しくは、お問い合わせフォームから Google Cloud セールスチームにお問い合わせください。
Google の CJIS 機能
Assured Workloads と Assured Controls を通じて利用可能な CJIS スコープ サービスでは、CJIS セキュリティ制御を実装して、お客様がビジネスニーズを満たすために Google Cloud と Google Workspace の機能を利用できるようになります。
州、地方、連邦の法執行機関および刑事司法機関(およびその請負業者)は、以下の目的でサービスを利用できます。
- CJIS のワークロードを米国に制限するガードレールを設定する。
- テクニカル サポート スタッフを米国内に配置し、Google と居住地域の CJIS 機関の両方によるスクリーニングを行う。
- FIPS-140-2 準拠の暗号化を保存時と転送時に暗号化する。
- 顧客管理の暗号鍵(CMEK)を使用する。
- 担当者のアクセス制御を実装する。
- CJIS 要件などに対応するために、デベロッパー コンプライアンス制限と論理セグメンテーションを適用する。
米国内のすべての Google Cloud 社員が Google のバックグラウンド チェックの対象となりますが、Google は CJI データの機密性を認識しています。そのため Google Cloud では、CJIS のセキュリティ ポリシーで義務付けられている、指紋ベースの FBI のバックグラウンド チェックと犯罪歴のバックグラウンド チェックに合格した米国人スタッフのみに、テクニカル サポートを制限しています。
各居住地域は、CJI の支援者を自身で管理できるよう、独自のバックグラウンド チェック プロセスを独自に提供することもできます。
CJIS セキュリティ ポリシー v5.9.1 と v5.9.2 の主な更新
FBI は 2022 年後半に CJIS のセキュリティ ポリシーを v5.9.0 から v5.9.2 に更新しました。変更は、FBI が公開している要件コンパニオン ドキュメントで確認できます。
最新のポリシーでは、いくつかの点で大幅な更新が行われています。具体的には、メディア保護、人事スクリーニング、ID とアクセスの管理、認知度向上とトレーニング、システムと情報の整合性に関するガイダンスが更新され、NIST 800-53 コントロールとより密接に関連しています。
また、今回の変更に関しては、いくつかの点がよく誤解されます。(以前のバージョンのポリシーに存在していた)付録 G.3 では、シナリオ 2 で、CJI が CSP の環境で復号された場合、環境にアクセスできる管理担当者が、「CJIS のセキュリティ ポリシーに記載されているとおり、セキュリティ意識向上トレーニングと担当者のセキュリティ管理の対象となっている」必要があります。これは、CJIS 機関が暗号鍵の管理を担当している場合でも当てはまります。
Google は、顧客を十分に保護するため、顧客管理の暗号鍵(CMEK)と担当者のセキュリティ管理を使用して、CJIS のセキュリティ ポリシーの認可を受け、要件を満たしている米国在住の米国人に CJI へのアクセスを制限します。