オラクルによるクラウド・アプリケーションATOの実現

Authority To Operateとは

すべての連邦政府の情報システムは、本番稼働する前に、Authority to Operate(ATO)を取得する必要があります。ATOは、情報システムが評価され、各機関の承認担当者(AO)(多くの場合、CIOである高官)が、業務(任務、機能、イメージ、評判など)、資産、個人、および他の組織に対するリスクを明示的に受け入れた場合、発行されます。ATOはAOによって付与され、各機関が情報システムのATO基準を決定しますが、米国国立標準技術研究所がリスク・マネジメント・フレームワーク(RMF)プロセスでガイダンスを提供しています。このような手順とガイダンスはFederal Information Security Modernization Actに由来しています。

各機関は、クラウド・サービスを利用する情報システムのリスク評価とATOの付与を行う場合、Federal Risk Authorization and Management Program(FedRAMP)を利用できます。FedRAMPでは、セキュリティ認証のための透明性の高い標準とプロセスを作成し、政府全体でセキュリティ認証を活用できるようにして、各機関がクラウド・コンピューティングの導入を加速できるようにします。FedRAMP Provisional ATO(P-ATO)は、特定のコントロールについてRMFのステップを繰り返す必要がないように、特定のセキュリティ・コントロールが満たされているという証拠をAOに提供するものです。FedRAMP P-ATOは、Joint Authorization Board(JAB)または各機関によって付与できます。

米国国防総省(DOD)のDefense Information Systems Agency Cloud Computing Security Requirements Guideでは、DODの任務に関する情報の影響レベル2、4、5、および6だけでなく、DODの各組織がATOを実現するために取る必要がある追加のステップも定義しています。

Oracle Cloud FedRAMP High P-ATO

Oracle Government Cloudで提供されているオラクルのIaaSおよびPaaSサービス1のすべてには、FedRAMPマーケットプレイスのとおり、FedRAMP High Provisional Authorizationがあります。前述のとおり、JABがクラウド・サービス組織に発行するATOは暫定的である理由は、情報システムに最終的なATOを発行する権限を持つのは各機関自身だけであるためです。コントロールの実施、テスト、および文書化は、各機関のAOがATOを発行する前に、各機関によって評価されますが、P-ATOは、このプロセスを大幅に簡略化および高速化します。

FedRAMPは、連邦政府機関に共通のセキュリティ・フレームワークを提供し、標準化されたベースラインに照らしてセキュリティ要件を見直して、重複する取り組みを排除します。クラウド・サービス・プロバイダーはクラウド・サービス(CSO)ごとに評価と承認のプロセスを受け、どの連邦政府機関も、CSOのP-ATOを実現すると、セキュリティ・パッケージをATOプロセスの一環として再利用できます。オラクルの米国政府向けクラウドのFedRAMPセキュリティ・パッケージは、IaaSとPaaSのP-ATO High JAB承認を継承して、各機関の管理負担を軽減し、ATOプロセスを短縮するために、再利用できます。

1各機関の要求に応じて、第三者評価を完了した一方、FedRAMPの承認をまだ受けていない特定のサービスは、最終的な承認を待つ間、利用可能になる可能性があります。

Agency ATOの実現

ATOプロセスは、各機関によって異なり、ここで提供される情報と異なる要件、プロセス、標準、および手順を含む場合があります。しかし、Oracle CloudのサービスによるAgency ATOプロセスは高いレベルで5つのステップから構成されています。

  1. 各機関の情報セキュリティ担当者は、FedRAMPマーケットプレイスのPackage Access Request Form(PDF)とパッケージID: FR1900048743によって、JABが発行するオラクルの監査済みセキュリティ・ドキュメント・パッケージを要求できます。
  2. オラクルは、要求を受け取ると、システム・セキュリティ計画、セキュリティ評価計画、セキュリティ評価レポート、および行動計画とマイルストーンを含むセキュリティ・ドキュメント・パッケージにセキュアにアクセスできる仮想閲覧室を設置します。このドキュメントは、極めて機密性の高いものであるため、機密保持契約の対象となります。各機関はセキュリティ・パッケージの内容を仮想閲覧室の外で保持、複製、および配布することはできません。
  3. 各機関の情報システム担当者は、質問があれば、オラクルのコンプライアンス・チームまたはFedRAMPプログラム・マネジメント・オフィスに問い合わせることができます。
  4. AOは、オラクルのJAB P-ATOの一貫として評価されたFedRAMPコントロールを上回る特定のアプリケーション向けの追加のセキュリティ・コントロールを見直し、文書化します。
  5. AOは結合された承認パッケージの最終的な見直しを行います。セキュリティ要件が満たされている場合、各機関のAOはATOを発行します。テンプレートはfedramp.govで提供されています。

オラクル・パートナーからのATO支援

オラクルは、ATOプロセスに精通する複数のパートナー企業と提携しており、ATOの実現に必要なステップについて各機関を支援できます。このようなパートナーの詳細については、次のWebサイトをご覧ください。