1．戦略的環境
- 1.1 情報技術における不適正な有効性とセキュリティ
- 1.2 異なるクラウドの取組とばらばらの実装
- 1.3 クラウドの適合性の欠如
- 1.4 AI（人工知能）の対応準備
2．戦略的目標
- 2.1 急激な成長の実現
- 2.2 DoDミッションの突発な性質向けのスケール（弾力性）
- 2.3 サイバーセキュリティ課題へのプロアクティブな取り組み
- 2.4 AIとデータの透明性の実現
- 2.5 辺境にいる兵士向けの戦術的支援の拡張
- 2.6 クラウドにおけるレジリエンシーの活用
- 2.7 DoDにおけるIT改革のけん引
3．戦略的アプローチとガイドの原則
- 3.1 兵士第一
- 3.2 クラウドスマート－データスマート
- 3.3 民間産業のベストプラクティスの活用
- 3.4 現代の技術進歩により適した文化の構築
4．実装
5．結論
附表 A：実装の詳細

　本戦略の中で、図1は、ハイブリッドクラウド環境やマルチベンダー環境の最適化に向けた先導役としての国防総省を示したものである。

図1　ハイブリッドクラウド環境とマルチベンダー環境に向けた先導役としての国防総省出所：U.S. Department of Defense「Cloud Strategy」（2018年12月）

　国防総省は、オンプレミスやプライベートクラウド、パブリッククラウドから成るハイブリッドクラウド環境やマルチベンダー環境を念頭に置いたクラウド戦略を策定している点が特徴だ。

国防総省独自の政府クラウドセキュリティ認証制度を構築／運用

　クラウドセキュリティに関連して、米国には、「連邦情報セキュリティマネジメント法（FISMA）」に準拠した「FedRAMP（Federal Risk and Authorization Management Program）」（関連情報）という連邦政府共通のクラウドサービス調達のためのセキュリティ基準がある。これに対して、国防総省傘下の国防情報システム局（DISA）は、「国防総省調達規則附則（DFARS）252.239-7010 クラウドコンピューティングサービス」（関連情報）に準拠した「クラウドコンピューティング（CC）セキュリティ要求事項ガイド（SRG）」を策定／公表している。現時点の最新版は、Version 1, Release 4（2022年1月14日付、関連情報）である。

　CC-SRGでは、セキュリティの要求レベルについて、「インパクトレベル（IL）」を設定している。当初、インパクトレベルは6段階が設定されていたが、現在は、表2に示す通り、レベル2、4、5、6の4段階が使われている。

表2　クラウドコンピューティング（CC）セキュリティ要求事項ガイド（SRG）のインパクトレベル（IL）［クリックで拡大］出所：U.S. Department of Defense「Cloud Computing (CC) Security Requirements Guide (SRG) Version 1, Release 4」（2022年1月14日）を基にヘルスケアクラウド研究会作成

　例えば、本連載第92回で取り上げたクラウド利用型ロボット支援手術（RAS）システムを国防総省傘下の医療施設に導入する場合、CC-SRGの要求事項をクリアしたクラウドサービス上に実装することが前提条件となる。その上で、本連載第19回で触れた保健福祉省（HHS）の「HIPAA（Health Insurance Portability and Accountability Act of 1996：医療保険の携行性と責任に関する法律）とクラウドコンピューティングに関するガイダンス」（関連情報）などを順守することが必要である。

DevSecOpsベースのゼロトラスト環境実装をめざす国防総省

前のページへ 1|2|3|4 次のページへ