こんばんは。小寺です。
AWS GovCloud (米国東部および米国西部) リージョンで国防総省のクラウドコンピューティングセキュリティ要件ガイド影響レベル 4 および 5 (DoD SRG IL4 および IL5) の認証を取得しました。
https://aws.amazon.com/about-aws/whats-new/2024/03/amazon-neptune-dod-impact-level-4-5/
アップデート内容
Amazon NeptuneがAWS GovCloud (米国東部および米国西部) リージョンで国防総省のクラウドコンピューティングセキュリティ要件ガイド影響レベル 4 および 5 (DoD SRG IL4 および IL5) の認証を取得しました。
このアップデートはすでに取得している FedRAMP High の分類レベル、そして HIPAA (Health Insurance Portability and Accountability Act、医療保険の相互運用性と責任に関する法律)、PCI DSS (Payment Card Industry – Data Security Standard、クレジットカード業界の情報セキュリティ基準)、ISO (International Organization for Standardization、国際標準化機構)、SOC 1、2、3 (System and Organization Controls、システムおよび組織管理) 等の非常に多くのコンプライアンスに関するプログラムに基づいています。
あらためてDoD SRGとは
DoDで検索すると、他のAWSサービスでもAWS GovCloudで影響レベル4と5を取得しているんですよね。
DoD SRGについて、まとめてみました。
米国国防総省 (DoD) には、連邦リスク承認管理プログラム (FedRAMP) によって決められている一般的な要件に加えて、独自の情報保護要件があります。
FedRAMPの要件を土台にして、米国 DoD は DoD クラウド コンピューティング セキュリティ要件ガイド (SRG) で、クラウド コンピューティングのセキュリティとコンプライアンスの追加要件を定義しています。
防総省が提供するクラウド サービスと、国防総省に代わって商用クラウド サービス プロバイダー (CSP)/国防省請負業者によって提供されるクラウド サービスに適用されます。
ここでいう「商用クラウド サービス プロバイダー (CSP)」はAWSですよね。以下の通り定義がされております。
AWS が米国国防情報システム局 (DISA) から取得した暫定認証は、AWS が DoD 標準に準拠していることを保証する再利用可能な証明書
ということで、認証取得が保証されると利用者にとっても嬉しいですよね。
では、DoD SRGに沿ってクラウド利用する対象は誰なのか?
・民間および国防総省以外の連邦政府 CSP
・CSP として動作する国防総省プログラム
・商用/非国防総省および国防総省クラウド コンピューティング サービスを使用している
・商用/非国防総省および国防総省クラウド コンピューティング サービスの使用を検討している国防総省コンポーネントおよびミッション オーナー
・国防総省のリスク管理評価担当者と認可担当者 (AO)
上記の通り規定されているようですね。
気になる影響レベルについて
他のサービスアップデートでもレベル4、5の取得が取り上げられていますが、どの段階まであるのかを確認してみました。
レベル 2、4、5、6 のセキュリティ統制ベースラインがあるようです。
1、3がどこにいったのかが気になります。。。
・DoD IL 2
公開または非クリティカルなミッション情報を定義。「中程度の影響レベル」で FedRAMP 認可が発行されたクラウド製品またはサービスは、DISA 覚書に従い DoD IL 2 に指定されます。
2019 年 8 月 15 日: 国防総省 (DoD) ) 影響レベル 2 (IL2) での FedRAMP 認定の中程度ベースライン クラウド サービス オファリング (CSO) に関する相互覚書が該当の覚書です。
AWS の米国東部/西部リージョンは影響レベル 2 の暫定認証を取得しています。なので、各サービスが次のレベル4、5を取得することでさらに重要度の高い機密情報を扱うことができるというわけですね。
・DoD IL 4
管理対象外情報 (CUI) または非 CUI、非重要ミッション情報、非国家安全保障システム
・DoD IL 5
高機密管理非機密情報 (CUI)、ミッションクリティカルな情報、国家安全保障システム
・DoD IL 6
機密秘密、国家安全保障システム
分類については国防総省情報または情報システムの機密性、完全性、または可用性 (CIA) が侵害されたと仮定したときの、潜在的な影響に基づくものとなっています。
ちゃんと潜在的なリスクを想定してのカテゴリ分けになっているようですね。