2012年02月09日 09時00分 UPDATE
特集/連載

セキュリティ評価に関するコスト削減が狙い米国発クラウドセキュリティ標準「FedRAMP」はどれほど効果があるのか?

オバマ政権は2011年12月、クラウドサービスに対するセキュリティ評価、認証および継続的モニタリングの標準的アプローチを策定したFedRAMPを発表。米国のクラウド事業者や専門家はFedRAMPへの期待と批判を寄せている。

[Marcia Savage,TechTarget]

 米国のクラウドサービス業者や業界専門家は、クラウドコンピューティングのセキュリティ標準を定めた新しい国家プログラムに大きな期待を寄せるが、同時に幾つかの懸念も示す。このプログラムが「サイバーセキュリティの進歩を阻害しかねない」との警告するセキュリティ専門家の声もある。

 オバマ政権は2011年12月、クラウドサービスおよび関連商品のセキュリティをコントロールのベースラインで評価する標準アプローチを定めた「Federal Risk and Authorization Management Program(FedRAMP)」を発表した。その目的は、省庁間で重複するセキュリティアセスメントとクラウド認証のコストおよび時間を削減することだ。

 「端的にいえば、政府省庁に対して、パブリックおよびプライベートクラウドの導入に当たり、比較的容易な認証方法を提供することだ。つまり各省庁は、従来のFISMA(連邦情報セキュリティマネジメント法)プロセスを経る場合と比べて、簡単にクラウドを利用できるようになる」と説明するのは、政府情報セキュリティの専門家でCloud Security Alliance(CSA)のメンバーであるダン・フィルポット氏だ。

 FedRAMPの下では、クラウドサービス業者が1つの省庁から認証を受けると、他の省庁はその認証を引き継げる。ある省庁が追加的な要求仕様を持っている場合、ベースラインとその仕様の間を埋める差分のみを満たせばよい。その面で、非常に経済的なセキュリティモデルとなっている。

 この「1回行って、何回も使う(do once, use many times)」というFedRAMPのアプローチは、煩雑な認証手続きを大幅にカットできるため、政府と産業の双方に大きなコスト削減効果をもたらす。そう指摘するのは、業界団体TechAmericaの政府および国内セキュリティポリシー担当副社長、ジェニファー・カーバー氏だ。

 ただし、「多くの省庁が業者の認証にさまざまな要求を追加するようになると、問題が生じる」と同氏はいう。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news105.jpg

Jストリームとゼロスタート、「サイト内検索連動型動画広告サービス」を共同開発
Jストリームは、ゼロスタートと「サイト内検索連動型動画広告サービス」の提供に向けて共...

news076.jpg

サイバーエージェントが欧州4カ国のモバイルゲーム市場調査を実施
サイバーエージェントは、シード・プランニング、デジタルインファクトと共同で、欧州主...

news029.jpg

Google アナリティクス360スイート、広範囲で複雑な関係を図解してみる
この春にGoogleが発表した「Google アナリティクス360スイート」。「Google アナリティク...