米国国防省調達規則(DFARS)
米国国防総会調達規則補足(DFARS)は、国防総省(DoD)と契約している企業に義務付けられている一連の規制です。
国防総省の請負業者と Defense Industrial Base(DIB)の顧客は、適切なセキュリティを確保するために、適用される DCMRS 条項の要件に準拠する必要があります。これらのお客様は、Google Cloud と Google Workspace を使用して、Google が定義した FedRAMP Moderate および FedRAMP High サービスで、クラウド サービス プロバイダ(CSP)で適用される DFARS 252.239-7010 条項および 252.204-7012 条項に準拠できます。
DFARS 252.239-7010 準拠
クラウド ソリューションが国防総省に代わってデータを処理するために使用されている場合、または国防総省がクラウドでデータをホストまたは処理するために CSP と契約している場合、防衛請負業者は製品番号:252.239-7010 (Cloud Computing Services)に準拠する必要があります。DFARS 252.239-7010 では、クラウドサービスプロバイダは国防総省のクラウドコンピューティングセキュリティ要件ガイドに準拠する必要があります。
Google Cloud と Google Workspace は、DoD クラウドコンピューティング セキュリティ要件ガイド に準拠し、Google Cloud サービスは IL2、IL4、IL5 レベルです。Google Workspace サービスは IL2、IL4 レベルで認可されており、IL5 レベルも認可を目指しています。サポートされているサービスについて詳しくは、DISA 準拠に関するページをご覧ください。
DFARS 252.204-7012 に準拠
対象防衛情報(CDI)を処理、保存、または送信する情報システムを運用する防衛請負業者は、252.204-7012 のNIST SP 800-171、サイバー インシデント報告義務、およびクラウド サービス プロバイダに関するその他の考慮事項に従って、管理された非機密情報(CUI)の保護に関する要件が規定されています。
Google Cloud と Google Workspace が キャンペーン マネージャー RS をサポート
お客様は Google Cloud と Google Workspace を使用することで、Google が定義した FedRAMP Moderate および FedRAMP Highの規制を使用して、CSP で適用される DFARS 252.239-7010 および 252.204-7012 条項に準拠できます。
Google Cloud と Google Workspace は、定義済みサービスについて FedRAMP Moderate と FedRAMP High Authority to Operate(ATO)の両方を維持しています。すべての FedRAMP Moderate および FedRAMP High サービスは、NIST 800-171 に準拠しています。お客様は、FedRAMP コンプライアンスをサポートするようにシステムを構成する際に、Google の FedRAMP システム セキュリティ プランの一部である FedRAMP Customer Responsibility Matrix(CRM)を使用する必要があります。Google のセールスチームまたは Google Cloud の営業担当者が、該当するドキュメントへのアクセス方法をご案内します。
すべての FedRAMP サービスについて、Google は FedRAMP Incident Response Plan(IRP)に依存しています。IRP は、FedRAMP ATO の一環として承認された Google の FedRAMP System Security Plan(SSP)の一部です。Google は、インシデント対応標準手順に従い、調査の一環として完了した該当する不正なソフトウェア、メディア、フォレンジック分析、被害評価を保存し、保護しています。
データを米国内のみに保存する必要があるお客様は、FedRAMP High サービス(Assured Workloads または Assured Controls で構成)と FedRAMP CRM を利用する必要があります。これにより、データは米国内の Google データセンター リージョンに保存されます。IL2、IL4、IL5 の Google ソリューションを使用して、顧客データのデータ所在地を確保することもできます。
Google を使用して、DFARS 252.204-7012 に準拠
DoD の請負業者と DIB のお客様は、Google Cloud と Google Workspace を使用して、DFARS 252.204-7012 の要件を満たすことができます。これらの組織は、Assured Workloads または Assured Controls を有効にすることで、Google Cloud 環境内にコンプライアンスを遵守した境界やシステム エンクレーブの作成を促進できます。以下に概説するように、Google は FedRAMP Moderate および FedRAMP High サービスの(CSP)に適用される DFARS 252.204-7012 フローダウン要件を受け入れることを約束します。
お客様は、ソフトウェアで定義された境界内でデプロイするために FedRAMP Moderate または FedRAMP High の規制管理パッケージを選択する必要があります。前述のとおり、FedRAMP コンプライアンスをサポートするようにシステムを設定する際は、Google の FedRAMP SSP の一部である FedRAMP CRM を使用する必要があります。
Google Workspace のお客様は、DFARS 252.204-7012 を遵守する範囲内で、FedRAMP Moderate または FedRAMP High のサービスのみを使用するようにする必要があります。お客様は必要に応じて、まだ FedRAMP 認証を受けていないサービスを無効にすることができます。Google Workspace FedRAMP 設定ガイドに沿って、DFARS 252.204-7012 への準拠をサポートすることをおすすめします。データの場所および Assured Controls は明示的に要求されるものではありませんが、より制限の厳しい要件を持つお客様に対しては、オプションのアドオンと見なされます。
Google Cloud と Google Workspace の Google Cloud のコミットメント(DFARS 7012 条項に基づく)要件
DFARS 7012 条項の要件 | Google Cloud と Google Workspace のコミットメント |
(b)適切なセキュリティの提供に関する要件 | Google Cloud と Google Workspace は、対象サービスについて FedRAMP Moderate と FedRAMP High ATO の両方を維持しています。すべての FedRAMP Moderate および FedRAMP High サービスは、 NIST 800-171 に準拠しています。 お客様は、FedRAMP コンプライアンスをサポートするようにシステムを設定するときに、Google の FedRAMP SSP の一部である FedRAMP CRM を使用する必要があります。お客様は、Google Cloud セールス スペシャリストに FedRAMP SSP と CRM をリクエストできます。 |
c)サイバー インシデント報告要件 | Google は、FedRAMP の責任と契約上の義務に沿ってデータ インシデントを報告しています。 Google の Cloud のデータ処理規約には、データ セキュリティに関する条項(第 7 項「データ セキュリティ」)が含まれています。この条項には、データ インシデント通知(第 7.2.1 項)が Google からお客様に速やかに通知されることが明記されています。Google からの通知では、インシデントの性質(影響を受けたお客様のリソースを含む)、インシデントに対処し、潜在的なリスクを軽減するために Google が講じた措置、または講じる予定Google がお客様に推奨するインシデントへの対処法(ある場合)。および詳細な情報を得られる連絡先の詳細(セクション 7.2.2)が記載されます。 Google では、データ インシデントの調査および特定のためにお客様のデータを評価することはありません。ただし、お客様から要請があった場合、Google は、お客様が適用される法律に基づくセキュリティおよび個人データの侵害に関する義務を確実に遵守できるよう、合理的な協力と支援を提供できます。 Google は、影響を受けるお客様に、72 時間以内に適切に設定された Assured Workloads とデータ インシデントの Assured Controls を使用して、DFARS の対象範囲に含まれるお客様に速やかに通知することに取り組んでいます。 インシデント対応に対する Google のアプローチについて詳しくは、データ インシデント対応プロセスをご覧ください。 |
(d)悪意のあるソフトウェア | Google Cloud または Google Workspace のお客様に関連する悪意のあるソフトウェアが DFARS の対象範囲内にあることを Google もしくはお客様が確認した場合、Google はお客様と協力して、必要に応じて悪意のあるソフトウェアを DoD Cyber Crime Center(DC3)に提出します。 Google のインフラストラクチャは、悪意のあるコードのデプロイを防止し、個人が一方的に環境に影響を与えるのを防いで、すべてのサービスに一貫した制御を適用するためのセキュリティ対策が講じられているように設計されています。 |
(e)媒体の保存と保護 | データ インシデントが発生した場合、インシデント管理チームは Google FedRAMP IRP プロトコルに沿って、標準的なインシデント調査プロセスの一環としてデータの収集と保存を保証します。このプロセスの間、Google は、インシデント対応で必要と判断した場合、物理システム、仮想システム、または物理メディアを保護し、維持します。モニタリング データやパケット キャプチャ データの収集と保存は、お客様の責任となります。 Google Cloud と Google Workspace をご利用のお客様は、Cloud Logging を使用してお客様の監査ログデータを最低 6 か月間(または、DFARS 252.204-7012 の義務を果たすために少なくとも 90 日間)保持することをおすすめします。お客様は、Google Cloud セールス スペシャリストに FedRAMP SSP と CRM(IRP を含む)をリクエストできます。 |
(f)フォレンジック分析に必要な追加の情報や機器へのアクセス | お客様の要請に応じて、Google は、お客様が適用される法律に基づくセキュリティおよび個人データの侵害に関する義務を確実に遵守できるよう、追加の合理的な協力と支援を提供できます。 |
(g)サイバー インシデントの損害評価活動 | Google は FedRAMP IRP の一環として、既知のインシデントによる損害の程度を評価しています。この情報は、国防総省の損害評価の一環として、リクエストに応じて提供されます。 |
DFARS 7012 条項の要件
Google Cloud と Google Workspace のコミットメント
(b)適切なセキュリティの提供に関する要件
Google Cloud と Google Workspace は、対象サービスについて FedRAMP Moderate と FedRAMP High ATO の両方を維持しています。すべての FedRAMP Moderate および FedRAMP High サービスは、 NIST 800-171 に準拠しています。
お客様は、FedRAMP コンプライアンスをサポートするようにシステムを設定するときに、Google の FedRAMP SSP の一部である FedRAMP CRM を使用する必要があります。お客様は、Google Cloud セールス スペシャリストに FedRAMP SSP と CRM をリクエストできます。
c)サイバー インシデント報告要件
Google は、FedRAMP の責任と契約上の義務に沿ってデータ インシデントを報告しています。
Google の Cloud のデータ処理規約には、データ セキュリティに関する条項(第 7 項「データ セキュリティ」)が含まれています。この条項には、データ インシデント通知(第 7.2.1 項)が Google からお客様に速やかに通知されることが明記されています。Google からの通知では、インシデントの性質(影響を受けたお客様のリソースを含む)、インシデントに対処し、潜在的なリスクを軽減するために Google が講じた措置、または講じる予定Google がお客様に推奨するインシデントへの対処法(ある場合)。および詳細な情報を得られる連絡先の詳細(セクション 7.2.2)が記載されます。
Google では、データ インシデントの調査および特定のためにお客様のデータを評価することはありません。ただし、お客様から要請があった場合、Google は、お客様が適用される法律に基づくセキュリティおよび個人データの侵害に関する義務を確実に遵守できるよう、合理的な協力と支援を提供できます。
Google は、影響を受けるお客様に、72 時間以内に適切に設定された Assured Workloads とデータ インシデントの Assured Controls を使用して、DFARS の対象範囲に含まれるお客様に速やかに通知することに取り組んでいます。
インシデント対応に対する Google のアプローチについて詳しくは、データ インシデント対応プロセスをご覧ください。
(d)悪意のあるソフトウェア
Google Cloud または Google Workspace のお客様に関連する悪意のあるソフトウェアが DFARS の対象範囲内にあることを Google もしくはお客様が確認した場合、Google はお客様と協力して、必要に応じて悪意のあるソフトウェアを DoD Cyber Crime Center(DC3)に提出します。
Google のインフラストラクチャは、悪意のあるコードのデプロイを防止し、個人が一方的に環境に影響を与えるのを防いで、すべてのサービスに一貫した制御を適用するためのセキュリティ対策が講じられているように設計されています。
(e)媒体の保存と保護
データ インシデントが発生した場合、インシデント管理チームは Google FedRAMP IRP プロトコルに沿って、標準的なインシデント調査プロセスの一環としてデータの収集と保存を保証します。このプロセスの間、Google は、インシデント対応で必要と判断した場合、物理システム、仮想システム、または物理メディアを保護し、維持します。モニタリング データやパケット キャプチャ データの収集と保存は、お客様の責任となります。
Google Cloud と Google Workspace をご利用のお客様は、Cloud Logging を使用してお客様の監査ログデータを最低 6 か月間(または、DFARS 252.204-7012 の義務を果たすために少なくとも 90 日間)保持することをおすすめします。お客様は、Google Cloud セールス スペシャリストに FedRAMP SSP と CRM(IRP を含む)をリクエストできます。
(f)フォレンジック分析に必要な追加の情報や機器へのアクセス
お客様の要請に応じて、Google は、お客様が適用される法律に基づくセキュリティおよび個人データの侵害に関する義務を確実に遵守できるよう、追加の合理的な協力と支援を提供できます。
(g)サイバー インシデントの損害評価活動
Google は FedRAMP IRP の一環として、既知のインシデントによる損害の程度を評価しています。この情報は、国防総省の損害評価の一環として、リクエストに応じて提供されます。
前述したように、FedRAMP 認可の対象となる Google 製品は CSP に適用される DCMRS 252.204-7012 の要件に準拠しており、防衛請負業者は、この要件に従って、これらの要件を満たすことができます。
関連サービス
セキュリティのベスト プラクティスに関する情報
ベスト プラクティスを見るよくある問題を解決する
セキュリティのユースケース動画を見るパートナーの活用
セキュリティ パートナーを見る
