(注:本記事は米国 Esri 社のブログ記事「Implemented and Upcoming 2023 ArcGIS Security & Privacy Advancements」を ESRIジャパン株式会社にて翻訳したものです)
新年を迎えるにあたり、組織での ArcGIS の使用方法を大幅に向上させることができる、以下のような重要なマイルストーンを要約してご紹介します。
目次
FedRAMP Moderate
2022 年末に、20 週間以上にわたって行われた ArcGIS Online のサードパーティによる評価が終了しました。代行機関の承認プロセスが開始され、今後数カ月で完了する予定です。米国政府機関でなく、ArcGIS Online が FedRAMP Moderate のセキュリティ コントロールに沿ってデータを保存していることを確認するためのサードパーティによるレポートを参照したい場合は、NDA の下で現在提供できますので、弊社営業担当にお問い合わせください。米国政府機関は、こちらに記載されているように、以下の認可プロセスが完了するのを待つ必要があります。これらのセキュリティ改善は、ArcGIS Online の組織ですでに実施されており、お客様による移行手続きの必要はありません。FedRAMP Moderate は、ISO 27001 の 3 倍以上のセキュリティ コントロールを備え、機密情報を扱うように設計されているため、多くの地理空間情報を扱うお客様にとって、ArcGIS Online クラウド サービスの利用を拡大するための大きなマイルストーンとなります。組織のセキュリティ担当者と相談し、ArcGIS Online の新しい活用法を検討することができます。
プライバシーに関する文書
ArcGIS Location Sharing Privacy Best Practices (英語) を大幅に更新し、ドキュメントの最後に要約されているセキュリティとプライバシー設定の推奨事項を拡張するなど、製品や規制の進化に合わせて、それらと整合するようにしました。
脆弱性の監査
Esri は CNA (CVE Numbering Authority) として NVD (NIST National Vulnerability Database) の監査を受け、Esri 社製品の脆弱性の深刻度を表す CVSS v3.1 スコアと、製品の脆弱性の特定、緩和、防止の取り組みのベースラインに使用している CWE (Common Weakness Enumeration) の両方で最高の受入レベルである「Provider」を取得しました。脆弱性に関して、このレベルの保証が得られるのは世界中のソフトウェア会社の 1% 未満です。本プログラムに関する詳細および監査結果の詳細については、こちらをご参照ください。
今後の追加保証について
クラウド セキュリティ アライアンス
ArcGIS Online Cloud Security Alliance CAIQ の回答は、今後数ヶ月の間に新しい 4.0.2 フレームワークに対応するだけでなく、その他のクラウド型サービスについても大幅な更新が行われる予定です。
安全なサイバー サプライチェーン
お客様のリスクを最小化するために、ソフトウェア プロバイダーが安全なサイバー サプライチェーンを確保することの重要性は、急速に高まり続けています。Esri 社は O-TTPS (Open Trusted Technology Provider Standard)/ISO (International Organization for Standardization) 20243 のギャップ分析を積極的に行っており、ArcGIS Online の自己評価認定は 2023 年第 1 四半期中に完了する予定です。2023 年後半には、Esri 社製品のセキュア サイバー サプライチェーン エビデンスが追加される見込みです。
ArcGIS Enterprise のセキュリティ強化ガイド
DISA STIG for ArcGIS Server がありますが、ArcGIS Enterprise の新しいリビジョンを発行するために DISA が関与できるようになったため、当社製品の一般的なセキュリティ強化ガイドを 2023 年にリリースすることを決定しました。
EU リージョン保証
2023 年後半にかけて、ArcGIS Online 欧州連合 (EU) オペレーションを ISO 27001 に準拠させ、2024 年の認証取得に向けて準備を進めます。
Trust Center の拡張
非常に多くの進歩があるため、ArcGIS Trust Center のコンプライアンス セクションは今後数週間および年間を通じ、追加の認証/規格に対応するように拡張していく予定です。
2023 年に予定されている強化によって、お客様はより厳しいセキュリティとプライバシー要件を満たしながら、クラウドとオンプレミスの地理空間実装ニーズのバランスをより効果的にとることができるようになります。
上記資料の早期公開に関するご意見・ご感想がございましたら、Esri の Software Security & Privacy team (SoftwareSecurity@esri.com) または、弊社営業担当にお知らせください。