TOPセキュリティ > 米政府のクラウドセキュリティー技術参照アーキテクチャー、その...

セキュリティ

米政府のクラウドセキュリティー技術参照アーキテクチャー、その内容は(上)

2021/10/18

Chris Hughes CSO

 米Joe Biden大統領は今年5月、米国のサイバーセキュリティー強化に関する大統領令「Executive Order 14028:Improving the Nation's Cybersecurity」に署名した。その中には、米国土安全保障省(DHS)のサイバーセキュリティー・インフラストラクチャセキュリティー庁(CISA)に対し、米行政管理予算局などとの連携のもとでクラウドセキュリティー技術リファレンスアーキテクチャーを策定するよう命じる条項があった。米連邦政府が「Cloud Smart」のコンセプトを引き続き追求する中で、政府機関のクラウド移行とデータ保護に関する規範を示すことを狙いとしたリファレンスアーキテクチャーである。

Credit: LordRunar / Getty Images
Credit: LordRunar / Getty Images

 このリファレンスアーキテクチャーの最初のバージョンは、全46ページのPDFとして9月初めに公開され、パブリックコメントの募集が行われた。全体のセクション構成は、「目的と範囲」「共有サービスレイヤー」「クラウド移行」「クラウドセキュリティー態勢管理」となっている。クラウドへの移行や習熟を進める政府機関にとっては、待望の手引きとなる文書だが、政府が進むべき道のりがまだ長いことを浮き彫りにする内容でもある。

評価に値するポイント

 このリファレンスアーキテクチャーは、クラウド移行の進め方について、政府機関に最善のアプローチを指南することを目指している。Cloud Smartや「FedRAMP」など、米政府がクラウドに関して進めている重要なプログラムの概略を分かりやすく示しているほか、クラウドサービスのモデル(SaaS、PaaS、IaaS)、導入形態、共同責任モデルなどについても、詳しく取り上げている。

 また、このリファレンスアーキテクチャーでは、クラウド向けのソフトウエアのデザインにDevSecOpsのアプローチを取り入れる必要性や、セキュリティーテストなどの面で自動化を活用して移行を円滑にする必要性についても、詳しく解説している。ソフトウエアをクラウドに移行すべき理由に関しては、ゼロトラストの推進、APIで得られるメリット、ATO(Authority to Operate)のプロセスを通じたシステム認定の促進といった点を論じている。

↑ページ先頭へ