TOPセキュリティ > 米政府のクラウドセキュリティー技術参照アーキテクチャー、その...

セキュリティ

米政府のクラウドセキュリティー技術参照アーキテクチャー、その内容は(下)

2021/10/22

Chris Hughes CSO

 米Joe Biden大統領は今年5月、米国のサイバーセキュリティー強化に関する大統領令「Executive Order 14028:Improving the Nation's Cybersecurity」に署名した。その中には、米国土安全保障省(DHS)のサイバーセキュリティー・インフラストラクチャセキュリティー庁(CISA)に対し、米行政管理予算局などとの連携のもとでクラウドセキュリティー技術リファレンスアーキテクチャーを策定するよう命じる条項があった。米連邦政府が「Cloud Smart」のコンセプトを引き続き追求する中で、政府機関のクラウド移行とデータ保護に関する規範を示すことを狙いとしたリファレンスアーキテクチャーである。

前回から続く)

Credit: Maxiphoto / Getty Images
Credit: Maxiphoto / Getty Images

 リファレンスアーキテクチャーが取り上げている対象はFedRAMPだけではない。クラウドの基本的な概念や導入モデルについても、同じように詳しく説明している。その内容は、米国立標準技術研究所(NIST)の文書800-145「The NIST Definition of Cloud Computing」にならっているが、この文書もやはり10年前のものである。

 こうした点が浮き彫りにしているように、米政府の機関には、クラウドの基本概念や事業者などについて基本的な理解に欠けている人員も依然として多い。米国防総省(DoD)の機関もそれ以外の機関も、クラウドコンピューティングへの依存度を次第に強めているにもかかわらずである。

 このリファレンスアーキテクチャーでは、DevSecOpsの意識を確立する必要性も強調している。DoDのように省全体でDevSecOpsへの取り組みやリファレンスデザインの策定を行っているところもあるが、それ以外の機関に関しては、共同体制に基づく包括的な戦略やアプローチはない。また、IaCに力を入れている点についても、米政府には、正規のIaCとしてあらかじめ確立された一元的なアーティファクトリポジトリがなく、そうしたものを政府全体で活用することができない。これでは、脆弱性、再利用、認定の促進といった面で、レベルの低下につながる。さらに、NISTのOSCALのような、DaC(Documentation as Code)の活用につながる政府レベルのコンプライアンスカタログもないことから、再利用可能なコンポーネントカタログを利用するFederal Compliance Libraryのようなアイデアが広がらない。

↑ページ先頭へ