米国国防総省（DoD）暫定認証

DISA は、DoD クラウド サービス プロバイダ（CSP）セキュリティ要件ガイド（SRG）の策定と管理を担当しています。SRG は、DoD がクラウド サービス（CSO）のセキュリティ ポスチャーを評価するために使用するベースライン セキュリティ要件を定義し、DoD PA を付与する決定をサポートすることで、クラウド サービス プロバイダ（CSP）が DoD のミッションをホストできるようするものです。SRG は、以前に公開された DoD クラウド セキュリティ モデル（CSM）を組み込み、置き換え、取り消して、DoD リスク管理フレームワーク（RMF）にマッピングします。

DoD IL2、IL4、IL5、IL6 は、CNSSI 1253 の国家安全保障システムのセキュリティ分類とセキュリティ コントロールに基づくさまざまなデータ分類に対応しています。CNSSI 1253 では、想定される 3 つの影響レベル（低、中、高）と 3 つのセキュリティ目標（機密性、完全性、可用性）の関連性が明確に定義されています。CNSSI 1253 は、NIST SP 800-53 のコントロールを使用して、想定されるシステム分類ごとに適切なセキュリティ ベースラインを提供します。DoD のミッション オーナーは、契約で可用性に対処する必要があります。

2022 年、Google Cloud は DoD IL5 PA を付与され、ソフトウェア定義コミュニティ クラウド向け DoD IL5 PA を取得した初のハイパースケーラーとなりました。ソフトウェア定義の分離アプローチは、リージョンのデプロイ、サービスの可用性、拡張性、費用の点で、従来の物理的に分離されたクラウド アーキテクチャ（一般に行政機関のクラウドと呼ばれる）よりも柔軟性が高いことを意味します。

DoD ILx パッケージのリクエスト: DoD ILx 認証パッケージは、FedRAMP High パッケージをベースとし、DoD 固有のコントロールが追加されています。DoD ILx パッケージを共有する権限は Google になく、DISA から第三者に直接提供する必要があります。FedRAMP P-ATO パッケージの対象範囲を超える DoD PA パッケージの詳細を必要としている政府機関は、DISA クラウド評価部門にお問い合わせください。

Google サービス IL パッケージにアクセスするには、DoD Enterprise Mission Assurance Support Service（eMASS）のサイバーセキュリティと認証情報リポジトリを通じてリクエストを送信してください。

DoD IL2 データには、一般公開が許可されたすべてのデータに加え、CUI には指定されていない機密性の低い重要情報が含まれます。この影響レベルは、CNSSI 1253 に基づく、機密性が低で完全性が中程度、可用性がお客様定義（L-M-x）までの非 CUI 分類に対応します。

IL2 については、DoD は FedRAMP Moderate または High の暫定運用認証（P-ATO）との完全な互恵関係を認めています。Google Cloud の FedRAMP コンプライアンスについて詳しくは、FedRAMP のページをご覧ください。

DISA によると、IL2 に分類されたデータは、CSO の認可を受けた米国のデータセンターでのみ許可されます。Google Cloud の FedRAMP 認定リージョンの米国以外のロケーションは相互承認の対象外であり、DISA の認定担当者による明示的な承認が必要です。DoD IL2 ワークロードは、Assured Workloads によるデータ境界を使用して Google Cloud にデプロイする必要があります。

IL4 と IL5 は、CNSSI 1253 に基づき、中程度の機密性、中程度の完全性、顧客定義の可用性（M-M-x）までの CUI 分類に対応しています。IL4 または IL5 認証済みサービスを選択したら、Assured Workloads を介したデータ境界を使用してデプロイする必要があります。

また、Assured Workloads では、Assured Workloads のモニタリングを使用して DoD IL4 および IL5 ワークロードのコンプライアンス状態を可視化することもできます。このツールにより、コンプライアンス違反を特定して修正し、IL4 および IL5 のセキュリティ要件への準拠について証明書を監査人に提供できます。

また、Assured Workloads によるデータ境界は、DoD IL4 または IL5 の政府データを扱う顧客向けに、次の主要な DoD IL4 および IL5 管理策もデフォルトで実装しています。

1. DoD IL4 および IL5 のデータのロケーションを米国に制限するガードレールを設定
2. 技術サポート スタッフを米国内の DoD IL4 および IL5 認定担当者に制限
3. 保存データと転送中のデータに FIPS-140 準拠の暗号化の使用を必須化
4. 顧客データにアクセスする可能性のある担当者に対して、DoD IL4 および IL5 に必要なアクセス制御を実装。
5. デベロッパーが DoD IL4 および IL5 準拠のプロダクトやサービスのみを使用するよう制限。
6. DoD IL4 および IL5 要件をサポートするため、対象範囲内のコンプライアンス境界を論理的に分離。

大統領令 12344 の下で設立された Naval Nuclear Propulsion Program（米海軍原子力推進機関プログラム） は、海軍の原子力推進のあらゆる側面を監督する、エネルギー省と海軍省の合同組織です。このプログラムは、米海軍の原子力船と、海軍原子力艦隊をサポートする多くの施設の設計、建造、運用、保守、管理を行う軍人と民間人で構成されています。

2019 年 5 月に公開された Naval Reactors Program Cloud Authorization Framework（NR フレームワーク）は、海軍原子力推進情報（NNPI）を保存または処理することを目的としたクラウドベースのシステムの認可を求める組織向けのガイドラインです。NR フレームワークの表 7-2 には、DoD IL5 管理基準には含まれていない、17 個の追加のUnclassified NNPI（U-NNPI）セキュリティ管理策が記載されています。これらの管理策は、U-NNPI を処理するクラウドベースのシステムについて評価する必要があります。

認定された第三者評価機関（3PAO）が、17 個の U-NNPI セキュリティ管理策すべてについて Google Cloud の管理証拠を調査し、Google Cloud がすべての U-NNPI セキュリティ管理要件を満たしていることを証明書で確認しました。

Google Cloud は、以下の条件のもとで、U-NNPI のコンプライアンス要件を満たすのに役立ちます。

• Google Cloud で U-NNPI を保存または処理する前に、Naval Reactors （Naval Nuclear Propulsion Program）に連絡して承認を得る必要があります。
• Assured Workloads Data Boundary for DoD IL5 を使用して、米国在住の米国人であり、詳細なバックグラウンド チェックを受けた Google 担当者のみが、顧客主導のサポート シナリオの U-NNPI にアクセスできるように制限する必要があります。

NNPI は CUI として分類されます。さらに、2010 年 6 月 7 日の OPNAVINST N9210.3「Safeguarding of Naval Nuclear Propulsion Information（NNPI）」（海軍核推進情報の保護）の表 1 と図 1 には、U-NNPI のアクセス要件を含む、NNPI のさまざまな分類レベルと取り扱い管理が記載されています。

他国への開示禁止（NOFORN）としてマークされ、取り扱われる U-NNPI のアクセス制限は次のとおりです。

• 米国市民であること
• 必知事項（NTK）であること

Google Cloud サービスで保存または処理される U-NNPI にアクセスできるのは、知る必要のある米国市民のみであることを保証するのはお客様の責任です。Google の従業員が IL5 の顧客データにアクセスすることはなく、暗号鍵はお客様が単独で管理します。

IL6 の指定は、米国政府の「SECRET（機密）」レベルまでに分類された情報の保存および処理に適用されます。

Google は、DoD IL6 要件をサポートするために、Google Distributed Cloud エアギャップ と Google Distributed Cloud エアギャップ アプライアンスを提供しています。これらを使用すると、インフラストラクチャとサービスをオンプレミスで直接ホスト、制御、管理できます。どちらのオプションも Google Cloud への接続は不要で、どちらも安全にオンプレミスに提供されます。Google Distributed Cloud エアギャップはラックベースのソリューションですが、Google Distributed Cloud エアギャップ アプライアンスはポータブルなスタンドアロン デバイスです。

Google Distributed Cloud エアギャップとアプライアンスは、CNSSI 1253 に基づく高機密性、高完全性、お客様定義の可用性（H-H-x）の情報分類で DoD IL6 PA を維持しています。どちらも、DoD Secret Internet Protocol Router Network（SIPRNet）への直接接続を可能にします。SIPRNet 接続以外の接続は、DoD クラウド認証機関の承認が必要です。Google Distributed Cloud のエアギャップとアプライアンスの DoD IL6 PA（DoD IL6 監査対象のクラウド サービスを含む）について詳しくは、DISA にお問い合わせください。

Google Workspace Enterprise Plus エディションは DoD IL2 ワークロードをサポートしており、DoD IL4 PA を取得しています。DoD IL4 への準拠が求められる生産性とコラボレーションのソリューションとして Google Workspace の導入を検討している場合は、Assured Controls Plus を使用する必要があります。

Assured Controls Plus が有効になった Google Workspace Enterprise Plus には、DoD IL4 準拠要件を満たし、独自の Authority to Operate（ATO）を取得できるようにする組み込みのセキュリティ コントロールと機能セットが含まれています。DoD IL4 コンプライアンスをサポートする Google Workspace の主な機能は次のとおりです。

• データ リージョンのみを使用して、データを米国リージョンに制限する機能。
• Assured Controls アクセス管理を使用して、Google スタッフによるサポート対応を米国の Google サポートチーム メンバーに制限する機能。
• センシティブ データの暗号化ニーズを満たす、保存データおよび転送中データの高度な暗号化。詳しくは、Google Workspace の暗号化に関する論文をご覧ください。
• ドメインに影響を与えるセキュリティ問題に関する高度なセキュリティ情報や分析を提供する Google Workspace セキュリティ センター。

国防総省のお客様は、eMASS から Google Workspace DoD IL4 のドキュメントにアクセスするか、DISA リエゾンにリクエストできます。Google がこのドキュメントをお客様に直接提供することはできません。

IL4/5 の対象となる Google Cloud と Google Workspace のサービスは、FedRAMP と DoD のコンプライアンスの範囲に記載されています。

• Assured Workloads の概要
• NIST Cybersecurity Framework と Google Cloud
• Google Cloud デプロイガイド
• Google Cloud Security モデル
• DoD 指示 8510.01DoD 情報技術（IT）向け DoD リスク管理フレームワーク（RMF）
• 管理対象の非機密情報（CUI）のレジストリと CUI のカテゴリリスト
• NIST SP 800-37 情報システムと組織のリスク管理フレームワーク: セキュリティとプライバシーのためのシステム ライフサイクル アプローチ
• NIST SP 800-53情報システムと組織のセキュリティとプライバシーの管理
• NIST SP 800-59国家安全保障システムとしての情報システムの特定に関するガイドライン
• NIST SP 800-171連邦政府以外のシステムおよび組織における管理対象の非機密情報の保護
• CNSSI 1253国家安全保障システムのセキュリティ分類とセキュリティ コントロール