FedRAMP認証済みのメールセキュリティソリューションのベスト選択肢
連邦データをメールで送信する際、組織はFedRAMP認証を受けたクラウドセキュリティソリューションを見つけて、このデータを安全に保つ必要があります。
メールにFedRAMP認証が必要ですか? 通常のメールセキュリティソリューションでは、特に連邦政府のデータを扱う場合、データを保護するには不十分かもしれません。FedRAMP認証は、FedRAMPコンプライアンスを確保するために強化されたメールセキュリティを提供します。
FedRAMPとは何か、そしてメールをどのように保護するのか?
FedRAMPは、クラウドサービスプロバイダー(CSP)が政府機関と提携するために必要なセキュリティ対策を規定する、連邦政府が義務付けたコンプライアンスフレームワークです。国家安全保障と技術文書(特にNIST 800-53およびFIPS 199)のガイドラインに基づき、FedRAMPはCSPが機密政府データを保護するために実施すべきさまざまなレベルのコントロールを指定しています。これらのコントロールには、以下のような対策が含まれます:
- 保存中および転送中のデータを保護するための暗号化
- データの不正アクセスや盗難を防ぐためのアクセス制御
- ワークステーション、データセンター、モバイルデバイスへのアクセスを防ぐための物理的な制御
- 従業員のコンプライアンスを確保するためのトレーニング手順
- 報告およびフォレンジックのための文書化とFedRAMP監査ログプロセス
- セキュリティアーキテクチャ、脆弱性管理、構成管理、緊急事態対応、インシデント対応を含む、アプリケーションのセキュリティと可用性を確保するためのプロセスの文書化。
連邦分野で請負業者として働き、いかなる種類のサードパーティクラウドベンダーを使用する場合、FedRAMP認証を受けた組織を探しています。プロバイダーが管理するデータの種類に応じて、実施すべきコントロールは数百に及びます。最も重要なのは、第三者評価機関(3PAO)が定期的に監査とペネトレーションテストを実施し、すべての構成変更とインシデントを継続的に監視して、CSPが文書化されたプロセスを遵守していることを確認することです。
現代のメールコミュニケーションにおいて、メールもFedRAMPの保護下にあると考えるのは当然です。メールは今日最も一般的なコミュニケーション手段の一つであり、毎日約2940億通のメールが送信されています。
FedRAMPは、機密データを含むメールをどのように処理するかを認証プロバイダーに指示します。これには、内部メールとクライアント向けのメールサービスの両方が含まれます。実際には、いくつかの異なるセキュリティカテゴリに分かれています:
- TLSのようなアルゴリズムを使用して機密情報を含むメールを暗号化する。
- 特に建物内やオフサイトでも移動可能なモバイルデバイスやラップトップのメールアカウントへのアクセスを管理する。
- アンチフィッシングおよびアンチマルウェア対策を実施し、ソフトウェア、メール警告システムとフィルター、攻撃を認識するためのトレーニングを含む。
これらのカテゴリはかなり広範ですが、メールを介して侵害される可能性のあるデータを保護するためのより大きなセキュリティアプローチを包含しています。
メールとモバイルデバイスのためのFedRAMP統合
セキュアなメールシステムを管理する際の課題の一つは、複数のプラットフォームやデバイスにわたってそれらのシステムのセキュリティと暗号化を管理することが難しくなることです。
例えば、公開鍵暗号化を使用するメールシステムを考えてみてください。これは、鍵を保護し、専任のITチームがそれを推進することで、メールを管理するための安全な方法です。しかし、システムが拡張されるにつれて、複雑さが増すいくつかのレイヤーを追加します。大規模な職場で個人の鍵を管理することはフルタイムの仕事になる可能性があり、組織外の機関の人々と協力することがさらに難しくなる可能性があります。
そのため、一部の企業は、メールを直接暗号化する必要性を回避し、プライベートメールアクセスを備えた暗号化データサーバーを使用しています。メールで直接送信することで潜在的に危険な情報を送信する代わりに、送信者はログイン資格情報を必要とするサーバーへのリンクを提供することができます。
これは、セキュリティのゴールドスタンダードを求める請負業者、機関、商業組織にとっていくつかの大きな利点があります:
- すべてのプライベートデータは集中化された場所でプライベートに保たれます。 誰かが情報を必要とする場合、侵害される可能性のあるメールで送信する必要はありません。簡単で安全な共有のためにリンクを送信するだけです。
- 複雑な公開メール暗号化の必要性を排除します。 ITスタッフは、はるかに小さな攻撃面を暗号化することに集中できます。
- 第三者との作業を簡素化します。 機関のパートナーと情報を共有したい場合、リンクを送信してアカウントを作成し、相手側で一致する暗号化や暗号鍵を持たなくても、その場でアクセスできます。(アカウントを作成したくない一時的なユーザーには、送信者がSMS認証のワンタイムパスコードを電話に発行することができます。)
- より包括的なセキュリティを提供します。 セキュアサーバーがデータを保護するだけでなく、マルチファクター認証のような手段を通じてアクセスと認証を管理することができます。また、報告と診断のためにデータアクセスをログおよび監査する機会も提供します。
- 継続的な監視を含みます。 すべてのFedRAMP認証請負業者は、3PAOによって推進される厳格な継続的監視プログラムを受け、継続的なコンプライアンスとセキュリティを確認する必要があります。
これにより、特定のメールセキュリティ対策の必要性がなくなるわけではありません。保護されたメッセージ用の別のセキュアサーバーがあっても、クラウドプロバイダーはTLSやドメインベースのメッセージ認証、報告、適合(DMARC)などの通常の暗号化標準を実装したいと考えるでしょう。
ますます多くの従業員がモバイルデバイスを使用してメールを確認するため、暗号化、アクセス、ストレージに関する同じセキュリティ要件がそれらにも適用されます。デバイスが安全でない場合、メールは安全ではなく、さらに重要なのは、全体のシステムがコンプライアンスを満たさないことです。
FedRAMP準拠のメールにおけるKiteworksプラットフォームの違い
Kiteworksプラットフォームは、FedRAMP Moderate Authorizedのクラウドソリューションです。これにより、FedRAMP SFTP、セキュアメール、クラウド機能を通じて、連邦請負業者、機関、商業組織が高度なエンタープライズファイル共有とセキュリティおよびコンプライアンス分析を利用できるようになります。これには、次の3つの主要な優先事項が含まれます:
- セキュリティ: 当社のセキュアメールは、保護されたコンプライアントサーバー上にあります。既存のメールシステムを利用して、当社のサーバー上のセキュアファイルとメッセージへのリンクを送信し、データを潜在的な侵害にさらすことなく利用できます。
- コンプライアンス: Kiteworksプラットフォームは、FedRAMP MFT、メール、ストレージのコンプライアンスを維持するためのツールを組織に提供します。暗号化標準、システム保護対策、物理的な保護策は、FedRAMP要件を確実に満たすために当社のシステムに集中しています。Kiteworksは、マルチテナントアプリケーションではなく、Kiteworksアプリケーションのプライベートインスタンスを使用することで、組織のセキュリティを向上させ、ベンダーのすべての顧客とデータとメタデータを混在させることを避けます。
- 可視性: 分析とCISOダッシュボードを利用して、データの使用を最適化し、バッチファイル転送を管理し、ネットワーク全体のデータを俯瞰することで、予防的なセキュリティとセキュリティ侵害への対応を調整します。
これらの重要な機能に加えて、KiteworksはOffice 365(WordやExcelを含む)などの生産性ツールとのセキュアな統合を提供します。Kiteworksコンテンツファイアウォールを既存のワークフローに簡単に統合し、作業スペースをセキュアにし、メールを介して情報を共有できます。
効果的なセキュリティ、コンプライアンス、可視性ツールを使用することで、内部業務のためのエンタープライズレベルの機能を実装したり、外部ベンダーと協力したりすることができます。この方法で、コンプライアンスを犠牲にすることなく、フル機能のクラウドプロバイダーの利点を享受できます。
セキュリティに注力するエンタープライズ企業や中小企業がKiteworksを通じてFedRAMP認証を求める理由を知るために、Kiteworksのカスタムデモを今すぐスケジュールしてください。