Salesforce での継続モニタリング

Salesforce Government Cloud では、公共セクター市場向けにカスタマイズされた優れたコンプライアンス管理を通じて、信頼へのコミットメントを高めています。Salesforce が FedRAMP の継続モニタリング、トラッキング、レポート作成を簡素化しつつ時間とコストを節約している方法についてご覧ください。
Salesforce での継続モニタリング

大局的なポリシーから日々の実践まで、Salesforce が行うすべての業務で信頼が強化されています。Salesforce Government Cloud では、公共セクター市場向けにカスタマイズされた優れたコンプライアンス管理を通じて、信頼へのコミットメントを高めています。Salesforce では、FedRAMP High Impact Baseline (高インパクトベースライン) や 米国国防総省の Impact Level 4 Baseline (インパクトレベル 4 ベースライン) などの標準を通じて、政府の機密データを保護するために必要なセキュリティが商品に備わっていることを確認しています。

IT システムで FedRAMP 認証を取得するのは簡単ではありません。通常は 1 年以上の時間がかかり、必要なセキュリティコントロールの実装、第三者評価機関 (3PAO) による監査の完了、Authorizing Official (AO) からの Authority to Operate (ATO) の取得に、かなりのエンジアリングリソースとコストが必要となります。あらゆる IT システムと同様、システムのセキュリティ体制の通常メンテナンスは一定のサイクルで行われます。FedRAMP では、継続モニタリングというプロセスを通じて、システムを定期的にメンテナンスすることが求められます。

継続モニタリングとは

継続モニタリングは、FedRAMP 認証済みの情報システムのセキュリティリスクや体制を積極的にモニタリングするプロセスです。Salesforce のようなクラウドサービスプロバイダー (CSP) には、情報システムをモニタリングして未知および既知の脆弱性を見つけることだけでなく、特定の時間内にこれらの脆弱性を追跡、修正することも求められます。たとえば、「高」重大度の脆弱性は 30 日以内に修正する必要があります。また、Salesforce では 3PAO に対してアクション計画とマイルストーンのレポート (POA&M) を提供しています。このレポートは Salesforce と監査者の関係性を良好に保つだけでなく、今後同じような問題が起きるのを避けるために Salesforce の解決戦略と推奨事項を監査者に伝えます。

Louper の登場

GovCloud 環境を定義する特徴は多く存在しますが、その 1 つが認可の境界と呼ばれる、コンテンツを取り囲みアクセスを制限する境界です。この境界は、これらのシステムの脆弱性をモニタリングするクラウドサービスプロバイダーにとっては障壁となります。従来の Customer 360 などに使用される標準のツールでは、環境へのアクセスと表示が許可されないからです。スキャンツールを設定して境界内で運用するのは比較的簡単ですが、発見した脆弱性がセンシティブであると判断され、認可の境界の外にエクスポートできない場合は、脆弱性のトラッキング、レポート作成、修正が困難になります。

そこで Salesforce は Louper と呼ばれるカスタムサービスを構築し、認可の境界内でのモニタリング時に発生する課題に対処しました。Louper は 2 つの主要な継続モニタリングプロセスを自動化することで、脆弱性のトラッキングと修正の能力を向上させます。Louper ではまず、環境内の脆弱性スキャンの結果を確認します。これらのレポートを調査し、発見された脆弱性をすべて特定します。その後、それらを以前発見された脆弱性のデータベースに照らし合わせます。新たな脆弱性が発見された場合、Louper は脆弱性の修正に必要となる適切なチームに通知を送信します。

次に、システム内のすべての脆弱性の履歴を保持することで、自動的に 3PAO 向けの POA&M レポートを作成します。このレポートには、すべての脆弱性のアイテムリストが含まれます。Louper は最新データを使用して動的にこのリストを保持できます。POA&M レポートには何千ものエントリが含まれているため、レポート作成を自動化することで手動作成にかかる膨大な時間と手間を節約できます。

信頼がすべて

継続モニタリングは、基準を遵守したクラウドにセキュリティを組み込む Salesforce の手法の 1 つです。Salesforce は堅固なセキュリティ体制を企業全体に拡張することで、業界をリードする企業価値と信頼を築いています。Salesforce Government Cloud Plus を使用すると、顧客は業界をリードする CRM、サービス、プラットフォーム、分析、公共セクターのアプリケーション、その他の業界のソリューションにアクセスできます。これらは政府機関の顧客や請負業者が、その業務目的と業界全体のデジタル変革を達成できるようサポートします。 

Salesforce Government Cloud について詳しくは、政府ソリューションエキスパートまでご連絡ください。1-844-807-8829

おすすめの事例