クラウド・サービス・プロバイダーにとって、IL5認証は、最高水準のセキュリティ基準に準拠したクラウドサービスを必要とする政府機関との契約の確保の機会を増やすことにつながります。政府機関にとって、IL5認証プロセスは、CSPを迅速かつ効率的に見つけて契約する手段となります。また、民間企業はIL5認証を取得したCSPと連携することでメリットを得ることができます。これにより、プロバイダーは最高レベルのセキュリティを提供することに取り組み、企業がサイバー回復力を達成できるように支援できるからです。
IL5は、米国国防総省(DoD)による認証で、クラウドサービスプロバイダー(CSP)がDoDの最も機微な情報の一部を保存および処理することを承認します。IL5認証は、CSPがミッションクリティカルとみなされる管理された非機密情報(CUI)を安全に処理するためのレベルの制御、プロトコル、テクノロジーを備えていることを示しています。IL5認証に必要なセキュリティ制御は、クラウドサービス 業界で最も厳格なものの1つです。
DoDの影響レベルとは
米国国防総省は、情報の共有、防御アプリケーションの実行、あらゆる軍事作戦での戦闘支援の提供に、クラウドインフラとサービスを利用しています。クラウド環境への脅威は常に存在するため、DoDデータと連携するCSPは、さまざまなセキュリティ要件に準拠し、特定の制御と保護を導入する必要があります。
DoDは「影響レベル」システムを使用して、情報の機密性と、データの紛失、漏えい、盗難、侵害が発生した場合の損害度に応じてデータを分類します。
DoDは、データの分類に加えて、影響レベルを使用することで、CSPから特定のクラウドサービス(CSO)のセキュリティ体制を評価できます。影響レベルの認定は、さまざまなデータセキュリティニーズに対応できるCSPとCSOを理解するための簡潔な情報です。
影響レベル5(IL5)は、非機密でありながら機密性が高く重要な情報に与えられる分類です。(IL-6は最も高い分類であり、情報システムとSECRETとして分類されるデータ用に予約されています。)IL5認証により、ベンダーは、管理された非機密情報(CUI)、ミッションクリティカルな情報、および国のセキュリティシステム情報を保存および処理できます。これには、生命の損失、国防総省の活動能力への重大な損害、国家安全保障への壊滅的な損害につながる可能性のあるデータが含まれます。
これらの影響レベルの違いは何ですか?
現在、機微な情報のレベルを表す4つのDoD影響レベルがあります。
- 影響レベル2(IL2)は、一般公開が承認されたDoD情報です
- 影響レベル4(IL4)は、DoDの管理された非機密情報(CUI)です
- 影響レベル5(IL5)は、DoD CUIおよび国家安全保障システム(NSS)です
- 影響レベル6(IL6)は、最高機密(SECRET)レベルのDoD機密情報です
IL5認証を管理している機関はどれですか?
米国国防情報システム局(DISA)はDoDの一部であり、DoDクラウド・コンピューティング・セキュリティ要件ガイド(CC SRG)の開発と保守を担当しています。このドキュメントでは、CSOのセキュリティ体制を評価するためのベースラインセキュリティ要件を定義し、CSPがDoDミッションをホストできるようにするための暫定認可(PA)を付与するための意思決定プロセスをサポートします。
FedRAMPはIL5認証とどのように関連していますか?
Federal Risk and Authorization Management Program(FedRAMP)は、CSPの製品やサービスを評価、認可、継続的な監視するための標準化されたアプローチを開発および管理することを目的とした、政府全体のプログラムです。FedRAMPは、CSPがさまざまな連邦政府機関と連携し、さまざまなレベルの機微な情報を保存および処理することを認定する、評価と認可のプロセス(低、中、高の暫定認可を含む)を監督します。連邦政府およびその機関との連携を希望するCSPは、FedRAMP認証を取得する必要があります。ただし、IL5認証を取得したい企業は、さらなる対策を講じ、さらに強力なセキュリティ制御を組み込む必要があります。
IL5認証の取得が必要な情報の種類は何ですか?
CSPは、以下を含むデータを扱うために、IL5認証を取得する必要があります。
- DoD IL4よりも高いレベルのセキュリティを必要とするCUI。これには、重要なインフラ、防衛、輸出管理、インテリジェンス、法執行機関、金融、核、プライバシーなど、さまざまなカテゴリーの情報が含まれます。
- 国家安全保障システム(NSS)の一部である情報。これには、諜報活動の一部である情報、国家安全保障に関連する暗号化活動、軍の指揮と制御に使用される情報、兵器システムの不可欠な部分を担う機器に関する情報、軍事または諜報任務の直接的な達成に不可欠な機能を可能にするデータが含まれます。
IL5認証にはどのようなタイプのセキュリティ制御が必要ですか?
IL5認証を取得するためには、厳格なセキュリティ評価と、最も厳格な物理的、論理的、暗号的分離制御の導入が必要です。これには、FedRAMP High認証を取得するために必要な制御と、国家安全保障システムを保護し、CUIに最高レベルのセキュリティを提供するために必要な多くの追加要件が含まれます。
IL5認証には、いくつかのカテゴリーでさまざまな制御が必要です。
- インフラの設計とセキュリティアーキテクチャ:CSPは、ネットワークセグメンテーション、侵入検知システム、堅牢なファイアウォール設定、暗号化された通信チャネルを実装する必要がある場合があります。
- アイデンティティとアクセス管理:多要素認証(MFA)、ロールベースのアクセス制御、特権アクセス管理により、不正ユーザーが重要なデータやシステムにアクセスするのを防ぐことができます。
- データ暗号化:公開された情報を読み取れない状態に保つためには、保存中、転送中、使用中のデータに強力な暗号化メカニズムが不可欠です。
- 継続的な監視:侵入検知システムとセキュリティ情報およびイベント管理(SIEM)システムを使用した継続的な監視により、脅威を迅速に発見して緩和できます。
- DevOpsのセキュリティ対策:CSPは、安全なコーディング手法と手法を採用し、定期的かつ自動化されたセキュリティテストを実施して脆弱性を特定し、対処することで、開発プロセスにおけるセキュリティの弱点を防ぐことができます。
- 更新とパッチ管理:セキュリティパッチを定期的に適用し、システムを更新することが不可欠です。侵入テストと脆弱性評価は、攻撃者が悪用する可能性のある弱点を明らかにするのに役立ちます。
- 文書化とレポート:CSPは、ポリシー、手順、監査に関する詳細な記録など、セキュリティ制御とコンプライアンスの取り組みに関する包括的な文書を提供する必要があります。
- サードパーティリスク管理:サードパーティーのリスク評価は、セキュリティギャップを特定し、組織のサプライチェーン内で発生する可能性のある脅威を防止するために不可欠です。
よくある質問(FAQ)
IL5認証は、米国の公共部門の顧客のワークロードをサポートしたい企業にとって不可欠です。
FedRAMP認証とDoD影響レベルは、どちらもクラウド製品とサービスのセキュリティ機能の評価に関与しますが、これらの認可は範囲と重点が異なります。FedRAMPは、政府のデータを保存および処理するクラウドベースシステムのセキュリティを確保するために設計された政府全体のプログラムであり、FedRAMP認証はすべてのDoDクラウドサービスの最小セキュリティベースラインです。影響レベルは、DoDがミッションクリティカルな評価を保護するために必要とするサイバーセキュリティ標準に固有のものです。
Akamai が選ばれる理由
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。