2024 年 7 月 22 日、ArcGIS Online が FedRAMP Moderate 認証を取得しました。FedRAMP PMO (Program Management Office) による認定の詳細は、FedRAMP Marketplace をご参照ください。本稿では、FedRAMP Moderate 認証の取得までの経緯と FedRAMP Moderate 認証の取得による変更点、ArcGIS Online の高度なセキュリティ レベルを確認する方法などについてご紹介いたします。
目次
FedRAMP Moderate 認証の取得までの経緯
2022 年まで、ArcGIS Online は FedRAMP Tailored Low 認証を受け運用されていました。しかしお客様からは、連邦政府機関、グローバルな営利組織、非営利団体を問わず、情報の保護を支援するより強力なセキュリティ保証レベルを求められていました。
そこで、ArcGIS Online に関する業務のセキュリティ管理を FedRAMP Moderate レベルに引き上げ、3PAO (認定第三者監査人) による評価を受けました。そして、2022 年末に情報セキュリティの安全性を示す証拠を認可機関 (米国内務省) に提出しました。審査と検証の後、米国内務省は 2023 年 5 月 8 日に ArcGIS Online を Agency FedRAMP Moderate として認可し、FedRAMP PMO に通知しました。
しかしちょうどそのころ、FedRAMP PMO はすべてのプロバイダーに対して、NIST 800-53 Rev 4 から Rev 5 へとセキュリティ コントロールの新しいリビジョンへ移行するよう要求しました。これにより、より強固なサプライチェーンのためのセキュリティ管理方式を加えるとともに、より強固なプライバシー管理が組み込まれました。リビジョン移行の詳細については NIST 800-53 Rev 4 to Rev 5 をご参照ください。
ArcGIS Online のセキュリティ保証レベルの向上と新しいセキュリティ管理基準への変更が重なり、FedRAMP PMO による審査に時間がかかりましたが、2024 年 7 月 22 日に認証を取得することができました。
FedRAMP Moderate 認証の取得による変更点
認定を受けたことにより、お客様に対してより強固なセキュリティとプライバシーを保証し、あらゆるタイプのユーザーが ArcGIS Online でより多様なデータセットを利用できるようになりました。
また、ArcGIS Online では他社サービスの障害時に影響を受ける可能性を小さくするための対策も実施しています。ArcGIS Online を利用するお客様の運用のセグメント化を徹底することで、障害に対する回復力を発揮し、サプライ チェーン リスクの範囲を軽減しています。
ArcGIS Online の高度なセキュリティ レベルを確認する方法
高度なセキュリティとプライバシー保護は ArcGIS Online にすでに実装されており、お客様の操作は必要ありません。
一方、セキュリティ レベルの強化に伴い各種ドキュメントやツールが更新されています。ArcGIS Online のセキュリティ レベルを確かめたい方は以下の 2 点をご確認ください。
Esri 社は、クラウドベースのサービスの利用において、Esri 社とお客様の間での責任共有モデルを採用しています。お客様の責任範囲については、責任マトリクス (アクセスするには ArcGIS ログインが必要です) を確認し、お客様による安全な構成管理が実施されているか確認することをおすすめします。
また、お客様によるセキュリティ構成を変更した場合は、ArcGIS Security & Privacy Adviser ツールを実行して、構成がベスト プラクティスと一致しているか確認することをおすすめします。なお、このツールは 2024 年 7 月末までに一新される予定であり、今年後半にはさらにチェック項目が追加される予定です。
今後の展開
セキュリティ保証の目的で国際規格を参照することを希望される場合、ArcGIS Online を米国 (US) リージョンでご利用中のお客様は、FedRAMP Moderate と ISO 27001 のセキュリティ管理の対応表をご参照ください。
ArcGIS Online の欧州連合 (EU) リージョンを利用するお客様の組織については、現在 ISO 27001 の取得に積極的に取り組んでおり、2025 年末までに認証が完了する予定です。
※この記事は、米国 Esri のブログ「ArcGIS Online FedRAMP Moderate Authorized!」を基に、ESRIジャパン株式会社にて翻訳した記事です。