2012年02月09日 09時00分 UPDATE
特集/連載

セキュリティ評価に関するコスト削減が狙い米国発クラウドセキュリティ標準「FedRAMP」はどれほど効果があるのか?

オバマ政権は2011年12月、クラウドサービスに対するセキュリティ評価、認証および継続的モニタリングの標準的アプローチを策定したFedRAMPを発表。米国のクラウド事業者や専門家はFedRAMPへの期待と批判を寄せている。

[Marcia Savage,TechTarget]

 米国のクラウドサービス業者や業界専門家は、クラウドコンピューティングのセキュリティ標準を定めた新しい国家プログラムに大きな期待を寄せるが、同時に幾つかの懸念も示す。このプログラムが「サイバーセキュリティの進歩を阻害しかねない」との警告するセキュリティ専門家の声もある。

 オバマ政権は2011年12月、クラウドサービスおよび関連商品のセキュリティをコントロールのベースラインで評価する標準アプローチを定めた「Federal Risk and Authorization Management Program(FedRAMP)」を発表した。その目的は、省庁間で重複するセキュリティアセスメントとクラウド認証のコストおよび時間を削減することだ。

 「端的にいえば、政府省庁に対して、パブリックおよびプライベートクラウドの導入に当たり、比較的容易な認証方法を提供することだ。つまり各省庁は、従来のFISMA(連邦情報セキュリティマネジメント法)プロセスを経る場合と比べて、簡単にクラウドを利用できるようになる」と説明するのは、政府情報セキュリティの専門家でCloud Security Alliance(CSA)のメンバーであるダン・フィルポット氏だ。

 FedRAMPの下では、クラウドサービス業者が1つの省庁から認証を受けると、他の省庁はその認証を引き継げる。ある省庁が追加的な要求仕様を持っている場合、ベースラインとその仕様の間を埋める差分のみを満たせばよい。その面で、非常に経済的なセキュリティモデルとなっている。

 この「1回行って、何回も使う(do once, use many times)」というFedRAMPのアプローチは、煩雑な認証手続きを大幅にカットできるため、政府と産業の双方に大きなコスト削減効果をもたらす。そう指摘するのは、業界団体TechAmericaの政府および国内セキュリティポリシー担当副社長、ジェニファー・カーバー氏だ。

 ただし、「多くの省庁が業者の認証にさまざまな要求を追加するようになると、問題が生じる」と同氏はいう。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news085.jpg

位置情報ゲームのビジネス化を支援、ジオロジックが「位置ゲー収益化キット」を発表
ジオロジックは、スマートフォン用アプリの開発者向けに位置情報ゲームのビジネス化を支...

news079.jpg

バスの予約から決済、乗車までスマートフォンで――アイリッジとイーコンテクストが専用アプリ提供
アイリッジとイーコンテクストは、全国のバス事業者に向けたスマートフォン用アプリ決済...

news074.jpg

「ポンパレモール」から「eBay」への出品を今秋開始、国内出品者の越境EC進出を手軽に
「ポンパレモール」を運営するリクルートライフスタイルとeBay、tensoの3社は、越境ECに...