2012年02月09日 09時00分 UPDATE
特集/連載

セキュリティ評価に関するコスト削減が狙い米国発クラウドセキュリティ標準「FedRAMP」はどれほど効果があるのか?

オバマ政権は2011年12月、クラウドサービスに対するセキュリティ評価、認証および継続的モニタリングの標準的アプローチを策定したFedRAMPを発表。米国のクラウド事業者や専門家はFedRAMPへの期待と批判を寄せている。

[Marcia Savage,TechTarget]

 米国のクラウドサービス業者や業界専門家は、クラウドコンピューティングのセキュリティ標準を定めた新しい国家プログラムに大きな期待を寄せるが、同時に幾つかの懸念も示す。このプログラムが「サイバーセキュリティの進歩を阻害しかねない」との警告するセキュリティ専門家の声もある。

 オバマ政権は2011年12月、クラウドサービスおよび関連商品のセキュリティをコントロールのベースラインで評価する標準アプローチを定めた「Federal Risk and Authorization Management Program(FedRAMP)」を発表した。その目的は、省庁間で重複するセキュリティアセスメントとクラウド認証のコストおよび時間を削減することだ。

 「端的にいえば、政府省庁に対して、パブリックおよびプライベートクラウドの導入に当たり、比較的容易な認証方法を提供することだ。つまり各省庁は、従来のFISMA(連邦情報セキュリティマネジメント法)プロセスを経る場合と比べて、簡単にクラウドを利用できるようになる」と説明するのは、政府情報セキュリティの専門家でCloud Security Alliance(CSA)のメンバーであるダン・フィルポット氏だ。

 FedRAMPの下では、クラウドサービス業者が1つの省庁から認証を受けると、他の省庁はその認証を引き継げる。ある省庁が追加的な要求仕様を持っている場合、ベースラインとその仕様の間を埋める差分のみを満たせばよい。その面で、非常に経済的なセキュリティモデルとなっている。

 この「1回行って、何回も使う(do once, use many times)」というFedRAMPのアプローチは、煩雑な認証手続きを大幅にカットできるため、政府と産業の双方に大きなコスト削減効果をもたらす。そう指摘するのは、業界団体TechAmericaの政府および国内セキュリティポリシー担当副社長、ジェニファー・カーバー氏だ。

 ただし、「多くの省庁が業者の認証にさまざまな要求を追加するようになると、問題が生じる」と同氏はいう。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news070.jpg

アライドアーキテクツ、テレビCMを活用したSNS動画広告配信・測定パッケージを提供
アライドアーキテクツは、テレビCMの映像を活用したSNS動画広告の配信・測定パッケージサ...

news024.jpg

F1、F2層対象のプレミアム動画広告「Trend TV」の提供を開始──ベクトルとマイクロアドの合弁会社
ベクトルとマイクロアドの合弁会社ニューステクノロジーは、F1、F2層を対象としたプレミ...

news081.jpg

サイバーエージェント、ブランド広告特化の「CA本部DSP」でネイティブ動画フォーマットに対応
サイバーエージェントは2017年2月21日、同社が提供するブランド広告企業向け広告配信サー...