コンプライアンス

アクセシビリティ

ベリタスはデジタルソリューションにおいてアクセシビリティを重視し、Web Content Accessibility Guidelines (WCAG) (World Wide Web Consortium によって規定) との整合性を確保しています。普遍的なアクセシビリティを実現するには課題がありますが、ベリタスではプラットフォームの定期的な評価を実施しています。特定された問題に迅速に対処することで、すべてのお客様に包括的なユーザーエクスペリエンスを提供するというベリタスの不断の取り組みを示しています。

AWS GovCloud

AWS GovCloud (米国) は、政府機関のお客様とそのパートナー様向けに設計されており、安全なクラウドソリューション環境を提供します。これにより、以下のような厳しい基準や規制フレームワークを確実に遵守します。

• FedRAMP High ベースライン
• 司法省刑事司法情報システム (CJIS) セキュリティポリシー
• 米国国際武器取引規制 (ITAR)
• 輸出管理規制 (EAR)
• 国防総省 (DoD) クラウドコンピューティングセキュリティ要求事項ガイド (SRG) (影響レベル 2、4、5)
• FIPS140-2
• IRS-1075

これによってコンプライアンスに準拠し、安全かつ柔軟なクラウドインフラ内で、政府機関固有のニーズに対応した運用ができます。

Azure Government

Microsoft Azure Government は、米国政府機関が求める厳格なコンプライアンス基準を満たすように開発されており、以下のような重要なフレームワークから承認と認可を得ています。

• Federal Risk and Authorization Management Program (FedRAMP)
• 国防総省 (DoD) クラウドセキュリティ要求事項ガイド (SRG) (影響レベル 2、4、5)

特定の米国政府リージョン (アリゾナ州、テキサス州、バージニア州) において、Azure Government は以下を取得しています。

• Joint Authorization Board (JAB) による FedRAMP High Provisional Authorization (P-ATO)
• 国防総省情報システム局 (DISA) 発行の DoD IL2、IL4、IL5 Provisional Authorizations (PA)

CMMC

サイバーセキュリティ成熟度モデル認証 (CMMC) は、米国国防総省 (DoD) が開発したフレームワークで、国防産業基盤 (DIB) における防衛関係の請負業者および下請け業者のサイバーセキュリティ体制を評価し、強化するものです。CMMC では、基本的なサイバーセキュリティ管理から高度な慣行まで、さまざまな難易度の国防総省案件に入札する請負業者に対し、特定のサイバーセキュリティ基準と慣行を満たすことを義務付けています。

一般的な基準

IT セキュリティ評価のためのコモンクライテリア (Common Criteria for IT Security Evaluation) は、これに対応する IT セキュリティのための共通方法論(Common Methodology for IT Security Evaluation) とともに、国際的なコモンクライテリア承認アレンジメント (Common Criteria Recognition Arrangement) として機能します。これにより、以下のことが保証されます。

• 承認された独立研究所による製品の評価が実施され、特定のセキュリティ機能が検証される
• さまざまな技術の種類に対する基準や方法の適用を詳述した文書によって、認証プロセスが説明される
• 評価された製品のセキュリティ属性に関する検証証明書が、評価結果に基づき、多数の証明書認証スキームによって配布可能となる
• すべての CCRA 加盟国によって当該証明書が有効となる

米国サイバーセキュリティインフラセキュリティ庁 (CISA)

• 米大統領令 (EO) 14028
  米国のサイバーセキュリティを強化するため、EO 14028 が 2021 年 5 月 12 日に発効されました。この EO は政府機関に対し、サイバーセキュリティとソフトウェアサプライチェーンの保全を強化するよう求めています。また、すべてのソフトウェアベンダーに対し、製品の開発に使用したコンポーネントをソフトウェア部品表 (SBOM) として一覧にまとめ、米国政府に提出するよう求めています。さらに、多要素認証、保管中と転送中のデータの暗号化 (FIPS 140-2)、および製品へのゼロトラストアーキテクチャの適用を政府機関に義務付けています。

• IPv6/USGv6 (IPv6/USGv6)
  United States Government (USG) バージョン 6 は、米国政府によって策定された一連の技術要件と推奨事項であり、最新版の IP (Internet Protocol) であるバージョン 6 を連邦政府機関が採用および展開するための指針が示されています。この USGv6 プロファイルには、相互運用性とセキュリティを確保し、IPv6 関連の義務やポリシーに準拠するために連邦政府機関が従うべき特定の基準や構成の概要がまとめられています。

DISA STIG

国防総省情報システム局 (DISA) のセキュリティ技術実装ガイド (STIG) は、ハードウェアとソフトウェアの両方に関するセキュリティの最適化を目的とした構成ベンチマークとなるものです。その主な目的は、国防総省の IT インフラの保護にあります。

FedRAMP

• 社内のハードウェアでデータを管理するのは複雑で時間とコストがかかることが多いが、クラウドの場合は適切に管理しなければ潜在的なセキュリティリスクとなる
• Federal Risk and Authorization Management Program (FedRAMP) は、「クラウド製品およびサービスのセキュリティ評価、認定、継続的な監視のための標準アプローチ」を構築している
• bluesource はベリタスと連携して、厳格な FedRAMP ガイドラインに準拠した安全なクラウドソリューションを構築し、連邦政府機関が Enterprise Vault、eDiscovery Platform、Merge1 に SaaS ソリューションとしてアクセスできる安全な環境を Microsoft Azure 内に構築
• 政府機関は「Cloud Smart」要件を満たし、FITARA スコアを向上させ、スタッフを追加雇用することなくコスト削減を直ちに実現可能
• お客様はオンプレミスと同様にベリタスのソフトウェアライセンスを所有し、bluesource が FedRAMP の厳格な要件に沿って完全にホスト、管理するためのハードウェアおよび管理に要する料金の見積もりに対応
• 見積もりのご依頼や詳細に関する bluesource のお問い合わせ先: sales@bluesource.net

FIPS140-2

米国連邦情報処理標準 (FIPS) 140-2 は、暗号モジュールに対するセキュリティ要件をまとめたものです。FIPS 140-2 は、4 段階 (数字が大きいほどレベルが高い) の定性的なセキュリティレベルを通じて、幅広いアプリケーションと環境に対応しています。主要領域として、設計仕様、ポート、インターフェース、役割、物理セキュリティ、運用環境、暗号鍵管理、電磁波に関する要件、自己テスト、設計保証、攻撃緩和策などがあります。

IRAP

情報セキュリティ登録評価プログラム (IRAP) は、オーストラリアサイバーセキュリティセンター (ACSC) によるイニシアティブで、オーストラリアの政府機関だけでなく、政府にサービスを提供する組織のサイバーセキュリティ体制の強化にも役立ちます。

米国標準技術研究所 (NIST)

米国標準技術研究所 (NIST) は、米国商務省内に設置された非監督連邦機関で、米国のイノベーションと産業に関する競争力を促進しています。NIST サイバーセキュリティフレームワーク (CSF) など、サイバーセキュリティ関連のフレームワークや基準の策定を通じて、組織がサイバーセキュリティリスク管理プロセスを監督および改善するためのガイダンスを提供しています。代表的な特別刊行物 (SP) やリスク管理フレームワーク (RMF) として、NIST SP 800-53、NIST SP 800-37 RMF、情報コミュニティ指令 (ICD) 503、NIST 800-171、NIST 800-218 などが挙げられます。

Sheltered Harbor

Sheltered Harbor は、米国の金融業界が主導する非営利のイニシアティブで、サイバー脅威や業務上のリスクに対する回復力とセキュリティの強化を目指した取り組みを行っています。このイニシアティブは、金融機関を狙ったサイバー攻撃の増加と、攻撃手法の巧妙化を背景に発足されました。Sheltered Harbor の基準をベストプラクティスとして採用することで、金融機関は顧客の資産保護を強化し、金融システムの安定性とセキュリティに対する信頼と信用を維持できます。

SOC 2

SOC 2 評価は、独立した第三者による審査資料であり、組織が主なコンプライアンス管理および目標を達成していることを実証するものです。この評価は、米国公認会計士協会 (AICPA) の監査基準委員会の Trust サービス基準に基づいており、セキュリティ、可用性、整合性、機密性、プライバシーといった側面に関して、組織の情報システムに焦点を当てています。

TLS 1.3

Transport Layer Security (TLS) 1.3 暗号化プロトコルは、インターネットでやり取りされているデータを安全に保護するメカニズムを提供します。暗号化、認証、および鍵交換のメカニズムを使用して、クライアントとサーバーの間に安全な接続を確立します。

WORM のコンプライアンス

金融業界規制当局が定めたポリシーでは、データは安全に保持、暗号化され、Write Once Read Many (WORM) メディアに改ざん不可能な状態で保存されなければならないと規定されています。当該データは、取得可能であり、組織でデータの使用と削除に関する包括的な監査証跡を提供できなければなりません。