Amazon GovCloudは、独立したアマゾンウェブサービス(AWS)であり、顧客と米国政府機関がコンプライアンスや特定の規制要件に準拠しつつ機密データをクラウドに移行できるよう設計されたものです。
Amazon GovCloudは、米国の国際武器取引規則(ITAR)に対応しています。このクラウドサービスを使用すると、米国市民はAWS GovCloudリージョン内で、政府向けまたは政府によって管理された情報を扱うワークロードを実行できます。このサービスは、FIPS 140-2に準拠したエンドポイントなどの機能を提供します。また、米国市民のみに論理的/物理的アクセスおよび管理アクセスを提供します。
ユーザーは、必要に応じて同サービスの独自機能を使用したり、非機密扱いのワークロードを実行することもできます。AWSは、その境界における論理的および物理的なアクセス制御を管理する責任を担っています。ただし、AWSクラウドに移行されたデータの全般的なセキュリティは共同責任であり、データの所有者が自分のアカウントのコンテンツへのアクセスを制御します。AWSはアカウント設定方法の詳細も提供しており、米国のアカウントをそれ以外のアカウントと区別できる機能も備えています。また、ユーザーが各リージョン内でITAR規制対象のデータを処理するための使用上のガイドラインも定義しています。このガイドラインは、ユーザーがアマゾンウェブサービス提供のサービスに精通していることを前提とするものです。
AWS GovCloudリージョンはどこに位置しているのか?
AWS GovCloudリージョンは、米国の北西部および北東部に位置しています。2つのJoint Authorization Boardが存在し、1つは東部地域、もう1つは西部地域を担当します。顧客はAWS Artifactを使用して、いつでも自分のアカウントへの即時アクセスをリクエストできます。しかし、政府関連の顧客は、 既存のAWS認定やセキュリティコントロールがサポートされ、他のリージョンと同様のレベルのセキュリティが提供されています。これらのコントロールは「AWSコンプライアンス」のページで確認できます。ただし、AWS GovCloudでは、米国市民が自分のFIPSエンドポイントを介してそのエリアにアクセスするための機能を提供します。
ITARの要件とは?
ITARとは、武器関連の技術情報と防衛関連サービスおよびUSML(米国武器リスト)に記載される品目の輸出入を規制する一連の規則です。ITARでは、USMLに列挙された品目は米国市民によってのみ共用できるものであると規定しています。AWSは米国市民によってGovCloudリージョンを管理し、ITARデータに関連する領域で顧客が自分のソリューションを設計できるようにしています。ISO 27001とは異なり、AWS GovCloudリージョンは正式な認定を受けていません。しかし、AWSは最近、このクラウドサービスが顧客をサポートし、ITARに準拠していることを確認するために、FedRampの承認およびGovCloudエリアのレビューを実施しています。
保護される品目とは?
ITARにおける保護される品目とは、デジタルファイルまたはドキュメントファイルのいずれかに格納されている技術データを指します。ただし、その情報には、USMLで指定されるサービスまたは品目に関する情報が含まれている必要があります。ITARの遵守は、そのような機密データが外国や外国人の手に渡らないようにするうえで役立ちます。しかしながら、IaaSサービスのプロバイダーとして、AWSはITARのような輸出管理法で意図されるデータの輸出に対して責任を負うものではありません。そのため、法律ではAWSに輸出コンプライアンスプログラムを制定、運用することを禁じています。それにもかかわらず、AWSは、ITAR要件に準拠するクライアントに対して、AWSが管理するネットワークへのアクセスを米国の市民に制限することを促しています。それによって、顧客はそれぞれのAWS GovCloudリージョンにデータを保存して処理しながら、順守義務を管理できるようになります。
AWS GovCloudリージョンにアクセスするには?
関連するAWSアカウントに必要な要件に加えて、AWS GovCloudアカウントの所有者はユーザーアクセス用認証情報および別のアカウントIDを必要とします。このリージョンにアクセスできるのは米国市民だけですが、米国の規制や法律、輸出規制を遵守する個人は対象とされていません。資格要件を満たした顧客は、自分のAWS管理コンソールを使用して自分のアカウントへのアクセスをリクエストできます。ただし、自分のリージョンのAWSの担当者にも連絡することができます。
すべての政府機関がAWS GovCloudを使用できるのか?
AWSは、米国のクラウド環境のみを使用することを要求されている組織、またはそれを選択している組織にサービスを提供します。米国のクラウド環境の使用を望まないユーザーは、統制の緩い他のAWSリージョンを使用することができます。ただし、すべての政府機関は、AWSリージョンへのアクセス権を得るための契約書に署名する必要があります。AWS GovCloudリージョンにアクセスするには、連絡先フォームに記入するか、自分のリージョンの担当者に連絡する必要があります。メンバーは、自分のAWS GovCloudアカウントを使用して、Microsoft Windows ServerやEnterprise ApplicationなどのさまざまなITワークロードやアプリケーションを活用できます。AWSのサポートはすべてのリージョンで24時間提供されますが、AWS GovCloudの顧客は、電子メール、電話またはチャットでサポートチームに連絡する必要があります。
Tripwireは、連邦政府機関に向けられるセキュリティ上の要求を理解しています。それらの機関のセキュリティ上の意思決定者は、複雑な脅威の環境内で業務の安全性を維持するという任務だけを担っているのではなく、同時に規制遵守を証明するという役目も与えられています。
3つの連邦政府機関がどのようにTripwireを利用してFISMAへの準拠、侵害の検出、およびクラウド内のセキュリティにおける課題を乗り越えているかをご覧ください。こちらをお読みください。https://www.tripwire.com/solutions/solutions-by-industry/government/security-and-compliance-in-federal-agencies/
執筆者について:Matt Davida氏は、テクノロジー全般に情熱を注いでいる熱心なライターです。彼は特にプログラミングとサイバーセキュリティを専門としています。オフの時間は、地元の道場で空手を教えて楽しんでいます。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
