TOPセキュリティ > 米政府のクラウドセキュリティー技術参照アーキテクチャー、その...

セキュリティ

米政府のクラウドセキュリティー技術参照アーキテクチャー、その内容は(中)

2021/10/20

Chris Hughes CSO

改善が求められるポイント

 今回のクラウドセキュリティー技術リファレンスアーキテクチャーは、有益な情報を取り上げてはいるが、クラウドコンピューティングの大規模な導入、理解、習熟という面で、米国政府にとって今後の道のりはまだ非常に長いという点も浮き彫りにしている。全46ページのPDFのうち20ページ近くは、例えばFedRAMP、共同責任モデル、クラウドサービスの選択肢、導入モデル、クラウドに移行すべき理由など、もっぱら基本的な内容にあてられている。

 いずれの項目も、政府機関向けという文脈のもとでクラウドを議論するうえで、きわめて重要ではある。しかし、こうした話題が占める割合があまりに大きいのは疑問だ。例えば、政府向けのクラウドを扱う場合、もちろんFedRAMPに精通する必要がある。FedRAMPは、政府機関向けクラウドサービスのリスク評価や認証の標準のプロセスとして、行政管理予算局が2011年に策定した。政府関連の分野で、クラウドの統括、調達、活用に携わっている人であれば、FedRAMPの話は今さらの感がありそうだ。

 また、FedRAMPは確かにきわめて重要だが、政府によるクラウドサービスの利用の実態や必要性に付いていけていない。登場から約10年経つにもかかわらず、FedRAMPが認定したクラウドサービスプロバイダー(CSP)は235しかない。例えば、SaaSベンダーが市場全体で約1万5000社あるのに比べると、この認定数の少なさは際立つ。実際、大統領令にも、このボトルネックを意識しているとおぼしき言及がある。行政管理予算局などの機関に対しては、「適合するコンプライアンスフレームワークを特定し、それらのフレームワークをFedRAMPの認定プロセスの要件と対応付けて、認定プロセスの当該部分の代替として使用可能にする」よう命じている。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ