BoxがStateRAMP認定を取得

この 2年間で、地方自治体の運営と市民へのサービス提供のあり方に激震が走りました。世界的なパンデミックと現在の地政学的紛争により、情報の保護とシームレスでフリクションレスなデジタルファーストに大きな関心が集まっています。

一方、悪意を持つ者はこの変化を利用し、個人情報やデータを盗むことを目的とした革新的なマルウェアを画策しています。このように急速に変化する状況の中で、組織は、レジリエントで安全なソリューションを提供する、信頼できるベンダーがあることを知っておくことが重要です。Boxでは、セキュリティとコンプライアンスの最高水準を維持することを約束し、州、地方、教育（SLED）政府機関が安心してBoxを使用できるよう、StateRAMP認定ステータスを取得したことを嬉しく思っています。

BoxとStateRAMP

Boxは、StateRAMPを早期に取得し、セキュリティとコンプライアンスを提供するという我々のコミットメントをあらためて証明する認定ステータスを取得したことを嬉しく思っています。Boxは、スポンサーであるThe Los Angeles City Employees' Retirement System（LACERS）と連携し、StateRAMPのセキュリティ要件を完全に満たしていることを証明できました。LACERSはすでにBoxを信頼しており、Boxは最高水準のセキュリティが求められる非常にセンシティブな個人情報の保護に寄与しています。そのため、StateRAMP認定のスポンサーにもなっていただき、Box コンテンツクラウドのセキュリティ優先のアプローチが実証された形になりました。

「LACERSでは、何万人もの人々のリタイア、ひいては経済的な豊かさと健康に責任を負っています。この責任の重大さから、私たちは会員と従業員のデータのセキュリティに最高水準の基準を設けています。Boxのおかげで、同じ高い基準でソリューションを提供するパートナー企業を見つけることができ、組織のデジタル変革を推し進めることができるようになりました。HIPAA（Health Insurance Portability and Accountability Act：「医療保険の携行性と責任に関する法律」）をはじめとするさまざまな運用コンプライアンスへのコミットメントを考えると、ゼロトラストアーキテクチャ、シングルサインオン（SSO）、メールセキュリティ、ガバナンス機能の強化など、Boxに組み込まれたセキュリティ機能は大きなセールスポイントです。現在、StateRAMPがサイバーセキュリティの新しい基準として浮上しており、BoxのStateRAMP認可申請でパートナーになれたことを嬉しく思っています」。
- LACERS最高デジタル責任者 Vikram Jadhav氏

州・地方公共団体には安全なソリューションが必要

公共サービスを狙ったサイバーセキュリティ侵害の増加、どこにいても働ける環境（WFA: Work from Anywhere）へのシフトによるクラウドでの安全なコラボレーションの必要性、児童保護サービスなどの組織が、漏えいすると危険な極めて機密性の高い個人情報の保護を必要としていること、また政府の財務組織は個人識別情報（PII: Personally Identifiable Information）が狙われているなど、現在州や地方自治体は複数のサイバーセキュリティの課題に直面しています。幸いなことに、BoxのようなStateRAMP認定ソリューションは、以下の懸念を軽減することができます。

• 従業員のWFA移行：StateRAMP認定により、以前のオンプレミスソリューションに匹敵するセキュリティ制御を備えたクラウドソリューションを簡単に選択することができます。
• 医療/安全機関：StateRAMP認定ソリューションは、州や地方の組織が保有する可能性のある最も機密性の高いデータを適切に保護できることを確認済みです。
• 金融データ/PII：StateRAMPの高いセキュリティ基準により、認定ソリューションでは顧客の財務情報が信頼できることが保証されているだけでなく、継続的な監視プロセスにより、セキュリティの最先端を行くソリューションとして信頼できることを意味します。

Boxのコンテンツ・コラボレーション・プラットフォームは、組織が連携するために必要なすべてのツールを提供し、StateRAMP認定のセキュリティ管理により、データが必要とするセキュリティを提供します。

StateRAMPとは？

StateRAMPは、連邦政府のクラウドベンダーのための集中的なサイバーセキュリティ基準であるFedRAMP（Federal Risk and Authorization Management Program）にならい、州および地方政府にソリューションを提供するサービスプロバイダーに求められる一連のサイバーセキュリティ基準です。StateRAMPの言葉を借りれば、「StateRAMPは、州や地方自治体がクラウドのセキュリティを検証するための共通の方法を提供することで、セキュリティ対応を簡素化する」ものです。StateRAMPは、州や自治体の職員やクラウドサービスプロバイダで構成されており、州や自治体の組織にクラウドベースのソリューションを安全に提供するために必要な厳格なサイバーセキュリティ基準を満たすと信頼できる認定ベンダーのリストを提供しています。

「StateRAMPは、クラウドのセキュリティ検証を標準化するために共通のセキュリティ基準を確立しています。Boxが認定製品のリストに加わり、州や地方組織のサイバーセキュリティのニーズにも対応したクラウドソリューションを提供できることを嬉しく思います」。
- StateRAMPエグゼクティブディレクター Leah McGrath氏

StateRAMPでは、認定プロセスの異なる段階を表す6つのセキュリティステータスを認識し、「進行中」と「検証済み」に分類しています。

• 進行中（活動中、処理中、保留中）
• 検証済み（準備完了、暫定、認定（Boxが該当））

StateRAMPの認定を受けるには、登録された第三者評価機関が関与する4段階のセキュリティアセスメントを受ける必要があります。セキュリティ評価は、FedRAMPで使用されているNIST 800-53 Rev.4のコントロールをモデルとしており、取り扱うデータのリスク影響度を評価し、十分なセキュリティ管理が行われていることを確認するために行われます。そのプロセスは次の4段階です。

1. 文書化：関連する影響レベルと必要なセキュリティ管理を特定する
2. 評価：ソリューションの能力とコントロールに関する情報を収集する
3. 認定：コントロールをテストし、ギャップや弱点を特定した後、判断を下す
4. モニタリング：月次および四半期ごとの継続的なレポートと、年次の監査

Boxは、州や地域のお客様のデータを保護します

StateRAMPへの準拠は、基本的なアーキテクチャだけでなく、Boxソリューションの使用や実装においても重要です。組織のセキュリティニーズはさまざまであるため、コンプライアンスプロセスを支援できるパートナーを持つことが重要です。当社のお客様の多くは、社内のコンプライアンスやITリソースを補完するために、Boxコンサルティングの専門家を導入や展開に活用しています。

「BoxのStateRAMP認定への投資は、お客様のコンテンツのセキュリティレベルを向上させるための当社の一貫した取り組みを示すものです。州、地方、教育機関の顧客が高いサイバーセキュリティ要件を満たすことを支援することは、Boxがすべての顧客のサイバーセキュリティニーズに完全に応えることを約束した一例に過ぎません」。
- Boxチーフコンプライアンスオフィサー Tom Cowles

リモートワークの増加によるセキュリティ上の問題を感じている場合でも、非常に機密性の高い個人情報を扱えるコンテンツソリューションを探している場合でも、Boxはすぐに対応することができます。

※このブログはBox, Inc公式ブログ（https://blog.box.com/）2022年6月21日付投稿の翻訳です。
著者：Box, Inc. グローバル＆米国州政府担当マネージングディレクター Murtaza Masood
原文リンク：https://blog.box.com/box-attains-stateramp-authorization