米国連邦捜査局(FBI)の刑事司法情報サービス(CJIS)部門は、Google Cloud のようなクラウド サービス プロバイダ(CSP)を使用する際に刑事司法情報(CJI)を保護する方法について、連邦、州、地方の機関に提供しています。
Google Cloud は、Google Cloud の Assured Workloads、Google Workspace の Assured Controlsを介して CJI を保護および保管するためのセキュリティ制御を提供します。法執行機関は、対象範囲内の Google Cloud サービスに対してこれらの制御を実装することで、CJIS セキュリティ ポリシーを遵守できます。
FBI CJIS プログラム担当オフィスは、CJI の保護に関するガイダンスを提供する数多くのアーティファクトを公開しています。主なドキュメントである FBI CJIS セキュリティ ポリシーには、CJI を保護および保護するために最低限のセキュリティ要件が詳述されています。FBI は、NIST SP 800-53 で見つかったセキュリティ管理への CJIS 要件のマッピングも提供しています。
Google Cloud Platform と Google Workspace のお客様は、Assured Workloads と Assured Controls を使用して、CJIS セキュリティ ポリシーに準拠できます。Google の CJIS コンプライアンスについて詳しくは、お問い合わせフォームから Google Cloud セールスチームにお問い合わせください。
Google Cloud は、インフラストラクチャについてデフォルトで提供されるセキュリティに投資しています。これにより、セキュリティ コントロールがあらかじめ構成された状態で組み込まれるため、お客様は従来の分離された政府クラウド アーキテクチャを使用せずに、さまざまなコンプライアンス レベルを達成できるようになります。
Google Cloud を使用して CJIS ソリューションのデプロイを検討しているお客様は、Assured Workloads を使用して CJIS セキュリティ ポリシーに準拠できます。Assured Workloads により、Google Cloudサービスを使用して、コンプライアンスとセキュリティの要件をサポートするために、機密性の高いワークロードを確実に保護し、構成することができます。パブリック クラウド データセンターとは異なる物理的なインフラストラクチャに依存せず、費用、スピード、イノベーションの面で優れたソフトウェア定義コミュニティ クラウドを提供します。
Assured Workloads では、Assured Workloads モニタリングを使用して CJIS ワークロードのコンプライアンス状態を可視化することもできます。このツールにより、コンプライアンス違反を特定して修正し、コンプライアンス状態の管理証明書を監査人に提供することができます。
州、地方、連邦の法執行機関と刑事司法機関(およびその請負業者)は、Google Cloud インフラストラクチャが満足する管理に加えて、Assured Workloads を使用して以下のことを行えます。
Google Workspace の Assured Controls を使用すると、組織は組織要件とコンプライアンス要件を満たすことができます。たとえば、Google 担当者によるお客様のデータへのアクセスの制限や、お客様のデータの保存場所の指定などが挙げられます。
Google Workspace を使用して CJIS ソリューションのデプロイを検討しているお客様は、Assured Controls を使用して、CJIS セキュリティ ポリシーと整合したポリシーを設定できます。Google Workspace での CJIS ソリューションの構成ガイドについては、こちらをご覧ください。
州、地方、連邦の法執行機関と刑事司法機関(およびその請負業者)は、Google Workspace のインフラストラクチャで満たされている制御に加えて、Assured Controls を使用して次のことができます。
CJI を扱うエンティティ(Google Cloud など)は、エンティティのサービスを使用して CJI を保護することを希望する国と CJIS セキュリティ追加条項を締結する必要があります。この追加条項は、米国司法長官によって承認されたテンプレート化された契約であり、Google Cloud が CJIS セキュリティ ポリシーをどのように満たしているか、各当事者の責任、対象となるクラウド サービス、その他の多くの重要な条項について、詳細な情報をお客様に提供しています。
プロセスを開始して Google Cloud CJIS セキュリティ追加条項にアクセスするには、お問い合わせフォームから居住地域の Google Cloud Platform セールスチームにお問い合わせください。
Google は、州の CJIS システム庁(CSA)または CJIS のセキュリティ責任者(CSO)との間で CJIS セキュリティ追加条項に署名します。Google、または居住地域の CSA または CSO からのコピーをリクエストすることができます。
さらに、Google は CJIS のお客様に包括的なコントロール ナラティブを提供し、Google Cloud によってお客様が CJIS コンプライアンスに必要な FBI によってマッピングされた技術的コントロールを満たす方法について説明するものです。
Google の CJIS マッピングを入手するには、cjis@google.com にお問い合わせください。
Google 社員が暗号化されていない CJI に付き添いなしでアクセスできる州では、Google は各国家機関と協力して、州の暗号化されていない CJI に付き添いができない州で、(FBI の国家犯罪歴報告書に加えて)CJIS のバックグラウンド チェックを受けるようにしています。条件を満たす Google の担当者は、FD-258 指紋カードと必要な書類を各機関に提出します。
このプロセスにより、バックグラウンド チェックと CJIS セキュリティ意識向上トレーニングを完了した後にのみ、承認されたスタッフに付き添いのないアクセス権が付与されます。
いいえ。Google は顧客管理の暗号鍵と人員データアクセス制御を利用して CJI アクセスを制限するため、Google Cloud の CJIS に対する Confidential Computing は不要です。
ただし、Google が CJIS のお客様向けに提供している安全な制限付き環境に加えて、追加のセキュリティ管理として Confidential Computing を引き続き利用できます。
はい。お客様は、米国内で Google の主要サービス用のリソースを構成できます。Google は、サービス固有の規約に従って、選択されたリージョンにのみデータを保存します。
Google Cloud は、本番環境で BoringCrypto(証明書 3678)と呼ばれる、FIPS 140-2(FIPS 140-2 コンプライアンス ページを参照)の検証済み暗号化モジュールを使用します。これは、お客様への転送中のデータおよびデータセンター間で転送中のデータと、保管中のデータのどちらも、デフォルトで FIPS 140-2 認証取得済みの暗号方式によって暗号化が行われるということを意味します。
FIPS 140-2 認証取得済みのモジュールは Google の BoringSSL ライブラリの一部です。これにより、お客様は Google が管理する鍵、顧客管理の暗号鍵、外部鍵管理など、さまざまな Cloud Key Management オプションを選択しながら、FIPS のコンプライアンスを維持できます。Google Cloud では、保存中および転送中のデータにこのレベルの暗号化をデフォルトで使用しているため、FIPS 140-2 の暗号化を継承し、プロダクトやサービスを FIPS モードで実行する必要はありません。
Google は、パブリック クラウド インフラストラクチャに対する多層セキュリティ アプローチに投資し、暗号化や強力な人員データアクセス制御などの機能を提供しています。これにより、CJIS セキュリティ ポリシーの厳しい要件を満たすために必要な強固なセキュリティ体制を確立できると同時に、パブリック クラウドの継続的なプロダクト イノベーションを活用できます。
Google は、前述の制御(およびその他多く)の実装で FedRAMP Moderate 要件と FedRAMP High 要件に準拠し、合同承認委員会(JAB)によって承認されています。