构建はPSAT(构建安全意识培训)がFedRAMPの(联邦风险和授权管理计划)“在过程(進行中)“ステータスを取得したことを発表しました。現在,その次の段階であるFedRAMP机构授权へ向けて,FedRAMP项目管理办公室(PMO)と協力して作業しています。
【訳注】FedRAMPは米国連邦政府共通のクラウドサービス調達のためのセキュリティ基準で,製品やサービスを米国政府に提供するクラウドサービスプロバイダー(CSP)はFedRAMPの認定を受ける必要があります。認可ステータスには“准备好”“过程”“授权”があります。
FedRAMPは米国政府共通のプログラムで,政府機関の它コストの約30 - 40%を削減します。認定プロセスが完了すると,PSATは中度影响のSaaSとして認定され,构建はPII(个人身份信息:個人を特定できる情報)のようなコントロールされた非機密情報と共に300以上のコントロールを管理できるようになります。
クラウドを活用して連邦政府機関のセキュリティを改善
构建は,最も価値があり最も攻撃されている資産である人々を保護することを目指しており,FedRAMP認定取得への取り組みもその幅広いコミットメントの一部です。电子邮件保护、Targeted Attack ProtectionおよびEmail Data Loss PreventionなどのProofpointメールセキュリティソリューションもFedRAMP認定の取得作業中で、すでにFCC(連邦通信委員会)からFedRAMP Authority to Operate(ATO)を取得しています。
ATOは,总务管理局(GSA)からFedRAMP認定を取得する重要なステップです。
FedRAMPの中度影响SaaSと低强度SaaS
政府機関がFedRAMPの低强度ソリューションではなく,PSATのような中度影响ソリューションを利用する主なメリットは2つあります:
まず、中度ソリューションでは,PIIデータを保護するための厳格なセキュリティの実装と運用のための要件が設定されていますが,低强度のSaaS実装にはそれがありません。低强度ソリューションでは,PIIが何を意味し,セキュリティ意識向上プログラムがどのようなPIIを収集するかを政府機関が決める必要があります。政府機関によって,PIIにどの属性(電子メールアドレス,姓または名,部門,年齢,役職,勤務地,雇用開始日,および多くの組織がレポートに含めるその他の一般的な属性)を含めるかが異なります。
第2に,政府機関は,セキュリティ意識向上トレーニングプログラムと受講者の間で交わされるデータの機密性を確保する必要がありますが,FedRAMPの温和ソリューションは,シミュレートされたフィッシング攻撃,知識評価,トレーニングモジュール,報告されたフィッシングメールなどと受講者の間のインタラクション,あるいはプラットフォームとの間のその他のインタラクションを保護し,これらのインタラクションを経時的にレポートして進捗を測定できるようにします。低强度のSaaS実装では,保護要件は遙かに弱いため,政府機関は従業員データを保存および報告するリスクを負いたくないと考えるかもしれません。
FedRAMP自身は,中度影响レベルの認定が最も適切であると述べています。“FedRAMP認定を取得するCSPアプリケーションのほぼ80%が該当し,機密性,整合性および可用性が失われた場合に政府機関の運用資産または個人に深刻な悪影響が生じるようなサービスに最適です。」
それとは対照的に,低强度レベルのセキュリティ意識向上トレーニングプログラムは,“機密性,整合性および可用性が失われた場合でも,政府機関の業務,資産,または個人への悪影響が限定的であるサービスにのみ”適しています。
連邦政府機関向けのセキュリティ意識向上トレーニング
构建は重要な任務を遂行する多くの連邦政府機関と協働する立場として,データ,資産,および人々の保護についてお客様に安心を与えることが重要であると考えています。この中度影响レベルのFedRAMP実装が完了すると,連邦政府機関は自信を持ってPIIを安全に運用し,継続的に状況をレポートできます。
构建は業界を主導するポジションにあり,FedRAMPへの投資によって連邦政府機関のお客様にもより良いサービスを提供できます。构建のセキュリティ意識向上トレーニングソリューションはGartnerのマジッククアドラントにおいて6年連続でリーダーとして認定されており,これをさらに継続して革新することで,この重要なセグメントのニーズにクラス最高のセキュリティで応えることができます。
連邦政府向けの製品の詳細については,連邦政府のソリューションページをご覧ください。
订阅校正博客