政府機関の機密データの保護

(この記事は Whymicrosoft.com に 2012 年 8 月 1 日に投稿された記事の翻訳です)

Google Apps が政府機関のセキュリティ要件を満たすかどうかを懸念している政府機関のお客様は、ロサンゼルス市に目を向けるだけで十分です。ロサンゼルス市では、Google Apps が FBI の Criminal Justice Information Systems (CJIS; 刑事司法情報システム) の要件を満たさないと断定し、昨年 12 月に市警察を Google Apps for Government への移行計画の対象外としました。その結果、ロサンゼルス市では現在、互換性のない 2 つの電子メール環境を利用しており、17,000 人の市職員は Gmail に移行しましたが、13,000 人の警察署員は引き続き Novell GroupWise を利用しています。

マイクロソフトに関しては、セキュリティとコンプライアンスを懸念している政府機関で、より適切な選択肢となっています。政府機関では、Exchange Online を利用してクラウド内に一部のデータを配置しながら、Exchange Server を利用してその他のワークロードを機関内に保持できます。この場合の利点は、両方のバージョンの Exchange がシームレスに接続されるという点です。つまり、データがクラウド内と機関内のいずれに保存されているかに関係なく、すべてのスタッフが互いの予定表にアクセスして会議を設定できるのです。また、IT 管理者は、職員の電子メールがクラウド内と機関内のいずれに保存されているかに関係なく、メールボックスの検索と一元管理を実行できます。そのため、生産性が向上します。

さらに、Office 365 で CJIS 標準に対応するというマイクロソフトのコミットメントにより、すべての生産性ソフトウェアを最終的にはクラウドに移行することを希望している政府機関は、それを実現することができます。

 

多くの問題
セキュリティが優先事項となっているのは、ロサンゼルス市だけではありません。実際、KPMG による調査では、政府機関の回答者のほぼ半数が、セキュリティが最大の懸念事項であると述べています。

政府機関では、存在する中でも最も機密性の高いデータを管理しています。多くの機関で市民の個人情報を保護する必要があり、国家安全保障上の利益の保護に関して告訴された機関もあります。さらに問題を複雑にしているのが、政府機関がハッカーのターゲットになりやすいという点です。「私たちは定期的に攻撃に遭っています」と、オンタリオ市公共サービス部門の Ron McKerlie 氏はKPMG の調査で述べています。「私たちは、安全保障面に組み入れるものはすべて、きわめて堅牢であることを確認する必要があります」

政府機関の場合は特に、多くの問題が存在します。英国おける KPMG のパートナーである Iain Gravestock 氏は、次のように述べています。「公的機関では、リスクを負って成功した場合は賛辞を得ます。しかし、それだけです。年金受給者が手当てを受け取れなかったり、プライバシーの保護で不手際があったりなどの失敗があった場合には、かなり難しい状況になります」

 

マイクロソフトによるデータのセキュリティ保護
データの保護に関して、マイクロソフトが最高の選択肢となっている理由は何でしょうか。以下について考えてみましょう。

ハイブリッド環境 – 法的な理由、コンプライアンス上の理由、または複雑な監査要件のために、一部のコンテンツは機関内に保持する場合があります。マイクロソフトでは、すべてをクラウド内に配置するのではなく、一部のデータをクラウドに移行しながら、他の機密性の高いデータを機関内に保持することを選択できます。これに対して Google Apps のクラウド ソリューションは、「全か無か」のソリューションです。

Information Rights Management – Office の自社運用バージョンで利用できる Information Rights Management (IRM) テクノロジにより、制限付きコンテンツの正規の受信者がコンテンツの転送、変更、印刷、コピー、および貼り付けを行うのを防止できます。Google ドキュメントでは、セキュリティ設定は限定されています。たとえば、ユーザーは電子メールを共有する相手を指定できます。しかし、電子メールが送信されると、これらの相手はドキュメントの印刷、コピー、貼り付けを行うことができるだけでなく、許可されていないユーザーともドキュメントを共有できます。

情報のプライバシー – お客様のデータの使用方法に関して、マイクロソフトのプライバシーに関する声明には不明瞭な点は一切ありません。Google では、IT 管理制御インターフェイスで選択するだけで、ユーザーに広告を提供できてしまいます。また、Google はユーザーが削除した後でもユーザーの情報に対する権利を保持するため、プライバシーのリスクが後で発生します。

国際標準と地域標準 – Office 365 は、米国の Federal Information Security Management Act (FISMA; 連邦情報セキュリティ マネジメント法) の認定を取得しており、米国で義務付けられている Health Insurance Portability and Accountability Act (HIPAA; 医療保険の携行性と責任に関する法律) に準拠しています。また、Office 365 は、データ セキュリティの国際標準である ISO 27001 の認定を取得した、最初の主要なクラウド生産性サービスです。さらに、Office 365 では、欧州経済地域以外への個人データの転送を制限する EU モデル契約条項を、Office 365 のお客様との販売契約書に盛り込んでいます。Google では、Google Apps のリリースから 5 年経った最近になってようやく、ISO 27001 の認定を取得しました。

電子メールアーカイブ** – Office 365 E3 のサブスクリプション プランには、無制限の電子メール アーカイブが含まれています。電子メール アーカイブは自動的に実行され、法律に準拠しています。Google Apps では、ユーザーはアドオン サービスを購入する必要があるため、追加コストがかかり、複雑さも増大します。

レコード保持 – SharePoint Online は組み込みのレコード保持機能を備えているため、宣言済みのレコードであるドキュメント、レコードにアクセスできるユーザー、およびレコードを保持する期間を容易に指定できます。Google Apps でこの機能を利用するには、政府機関は追加コストをかけて CloudLock などのサード パーティを使用する必要があります。

 

堅牢なセキュリティの重要性
このような問題のために、数多くの政府機関が Office 365 に目を向けています。セキュリティを重視している市の 1 つにフロリダ州のオーガスティン ビーチ市があります。最終的に、オーガスティン ビーチ市職員は、Office 365 は市の従来のシステムよりも優れた電子メール セキュリティを提供すると判断しました。「当市の職員は、当初は、第三者が何らかの方法で職員の電子メールにアクセスできるのではないかと懸念していましたが、この懸念は完全になくなりました」と、オースティン ビーチ市の IT スペシャリスト Anthony Johns 氏は述べています。

セキュリティはミネソタ州でも優先事項となっており、州の行政機関全体を Office 365 移行する前に、データ保護について調査を実施しました。ミネソタ州の副本部長 Tarek Tomak 氏は次のように述べています。「マイクロソフトが Office 365 で提供している堅牢なセキュリティと高い信頼性は不可欠なものでした。州のデータがセキュリティで保護されることを確認することなく、ホスティング ソリューションに同意するということは、あり得ませんでした」

同様に、セキュリティはミシガン州でも優先事項となっています。州職員は Google Apps を評価しましたが、マイクロソフト環境が最も高いセキュリティを提供すると判断しました。「コミュニケーションのセキュリティは優先事項となっています」と、ミシガン州の情報技術部門オフィス自動化サービス担当ディレクターである Mike Binkley 氏は述べています。「Google は、セキュリティを保証できませんでした。Google Apps は、州のビジネスに対応できる状態ではありませんでした」

実際、多くの問題が存在する場合に、リスクを負う必要があるでしょうか?