米国連邦政府によるサイバーセキュリティ強化の取り組みは、米国市民や組織の保護という範囲を超えています。FedRAMP(Federal Risk and Authorization Management Program)の認証プロセスは、法執行機関、緊急サービス、医療機関が使用する情報を含む、クラウドコンピューティング環境における連邦政府の最も機密性の高い非機密扱いのデータを保護するために必要なセキュリティの認可基準を設定しています。FedRAMP認証取得に向けたTrellixの取り組みの成果は、当社製品のセキュリティ性能にスポットライトを当てるだけでなく、米国の公的機関のお客様にもメリットをもたらします。
組織が対応可能な政府のセキュリティレベル
FedRAMPは、データの出入りを含むデータセキュリティ管理に関するコンプライアンス基準に基づいて、プロバイダーの認可レベルに関連するリスクをHigh, Moderate, Low (高、中、低)に分類しています。例えば、クラウドサービスプロバイダーまたは独立したサードパーティからSaaSホストソリューションに入るデータは、機密性、整合性、可用性をもってすべての連邦政府データを保護するために、同じレベルのセキュリティ制御を実装する必要があります。
では、なぜ非政府組織がFedRAMPの認証レベルにこだわる必要があるのでしょうか。TrellixのFedRAMPへの取り組みは、非政府組織に対して大きなコンプライアンスの価値を提供します。企業のお客様は、プロバイダーが米国政府によって準拠していると既に審査されていることを知っているため、独自の評価を実行しなくてもデータが保護され、安全になります。
公共部門は、政府のコンプライアンス基準に多大な価値を置いています。例えば、米国食品医薬品局の基準は、他国が自国のコンプライアンスモデルに使用するために反映されています。米国政府の精査を通過したものは、他の政府の基準も満たしている可能性が高いのです。
グローバルな顧客は、デューデリジェンスに多大なリソースを費やすよりも、FedRAMPの認定基準を使用して自動的にベンダーを承認し、サイバーセキュリティの要件を設定することができます。TrellixのようなFedRAMP認定サイバーセキュリティベンダーは、アマチュアが設計したセキュリティを誇示するような安易な企業ではありません。
TrellixのFedRAMP影響度について
FedRAMP認証への取り組みにより、以下のTrellixソリューションにそれぞれの認可レベルが与えられています。
- Trellix XDR(GovCloud High)は、High(高)インパクトレベルでAuthority to Operate(ATO)を取得し、FedRAMP Program Management Office(PMO)からFedRAMPの高認証を取得する過程にあります。
- Trellix Email Security Cloud はModerate(中)レベルで認定されています。
- Trellix XDRはModerate(中)レベルで認定されています。
Trellixの高いFedRAMPレベルへの取り組み
FedRAMPのセキュリティ管理レベルは一定ではありません。また、FedRAMPの高認証レベルでの利用可能なベンダーの数は、非常に少ないです。その結果、FedRAMPは、Trellixのようなベンダーに同機関の最高水準の達成を約束するよう促すことで、セキュリティの向上を促進しています。米国政府が将来のサイバーセキュリティのニーズを分析する中で、より高い認証レベルの追求は、セキュリティ管理の改善に対する将来の需要も示唆しています。
Trellixは、FedRAMPおよび米国政府と緊密に連携し、より多くの製品を「高認証レベル」に配置する取り組みを続けていきます。サイバーセキュリティを次のレベルに引き上げることは、進化し続ける脅威から公共部門や政府のお客様を保護する上で常に必要とされています。
※本ページの内容は2023年4月24日(US時間)更新の以下のTrellix Storiesの内容です。
原文:Trellix’s High FedRAMP Efforts Benefit All Customers
著者:Harold Rivas