Slack と FedRAMP のロゴ
ニュース

Slack は FedRAMP Moderate 認定を取得しました

公共部門の厳しいコンプライアンス基準を満たす、新しいセキュリティプログラム

Slack チーム一同作成2020年8月7日

多くの Slack ユーザー、特に公共部門のユーザーの皆さまにとってセキュリティは最重要課題です。チャンネルベースのメッセージングプラットフォームである Slack は、米国退役軍人省(VA)から一般調達局(GSA)の 18F オフィスに至るまで、さまざまな政府機関に選ばれています。そこで Slack では最高水準のセキュリティやコンプライアンス基準を満たせるよう、新たな対策を導入しました。

今やセキュリティコンプライアンスの基準を定める連邦規制当局でさえも、Slack を活用して業務を進めています。当局や規制業界の皆さまが安心して Slack を使えるよう、私たちはセキュリティプログラムを改善し、FedRAMP Moderate 認定を取得しました。 

これは、あらゆる規模の組織にエンタープライズ級のセキュリティを提供するという取り組みの一環です。これは各ユーザー組織に固有のセキュリティやコンプライアンスのニーズを満たしつつ、クラス最高のコラボレーション環境を提供することを目的としたものです。 

この記事では、FedRAMP Moderate 認定の取得による皆さまへのメリットや、コンプライアンス基準達成までの取り組みを紹介していきます。

Slack が FedRAMP 認定を取得するまで

FedRAMP とは?

FedRAMP(連邦政府のリスク・認証管理プログラム)とは、クラウドセキュリティに対して標準化したアプローチを提供する政府規模のプログラムです。クラウドベースのソフトウェアシステムは、連邦機関や組織での使用開始前に FedRAMP 認定を受けなければいけません。これにより、連邦政府の全データの機密性が確保され、最終的には公共の利益につながります。業界の専門家の間では、FedRAMP はクラウドセキュリティに関する最高基準だとみなされています。  

FedRAMP Moderate 認定の取得 

Slack は 2018 年 4 月に FedRAMP プログラムマネジメントオフィスと面談し、それから半年も経たずFedRAMP Tailored 認定を取得しました。この認定の取得が重要な節目であることは確かですが、私たちはさらに高いレベルのセキュリティコンプライアンス基準を達成したいと考えました。 

退役軍人省 から支援を受け、FedRAMP Moderate 認定を目指すことにしたのです。規制当局のパートナーは、300 以上の厳しいセキュリティ管理項目において Slack 製品をテストしました。そして 2020 年 5 月 20 日、私たちは FedRAMP Agency Authority to Operate(ATO)の影響レベル「中」を達成したのです。 

つまり、Slack は次のような米国政府の規制に準拠していることになります。

  • アクセス制御 : ユーザーのデータへのアクセスを効果的に制限し、管理する
  • 暗号化の手法 : FIPS 140-2 で検証された暗号技術を使用し、転送中および保管中のデータを保護する
  • ネットワークセキュリティとサーバーの強化 : CIS ベンチマークとベンダーのベストプラクティスを導入し、すべてのネットワークインフラを保護する 
  • 脆弱性管理 : 潜在的なリスクを効率的に特定し、解決する
  • インシデント管理 : インシデント発生時に迅速かつ適切に対応する
  • 事業継続と災害復旧 : 中断を発生させずに、シームレスにサービスを提供する
  • システムモニタリング、ログ記録、アラート : 自社所有のサーバー、ワークステーションすべてをモニタリングし、システムのセキュリティを維持する 
  • 安全なソフトウェア開発ライフサイクル : オープンソースのツールとバグ報告機能を活用し、潜在的なセキュリティの脆弱性を特定して優先順位をつけ、解決する 

高水準のセキュリティコンプライアンスがもたらすメリット

Slack が FedRAMP Moderate 認定を取得したことは、米国の公共部門で働くユーザーの皆さまに対して、継続的に投資しサポートしていくということです。クラウドに移行する政府機関が増加するなか、Slack は業界の標準セキュリティ規格を超える水準を実現し、公共部門の各コンプライアンス要件を満たすソリューションも備えているため、IT 管理担当者やセキュリティ担当者の皆さまも安心です。 

今回の認定取得で、ユーザーの皆さまは Slack をより安全に利用できるようになりました。もちろん、FedRAMP 認定のある環境を必要としない民間企業の皆さまも含まれます。Slack の商用サービスを使用するユーザーの皆さま全員が、FedRAMP 認定の取得に向けて強化されたセキュリティ対策の恩恵を受けることができます。 

引き続き皆さまの信頼を得られるよう、Slack は次のようなセキュリティおよびコンプライアンス機能を開発していく予定です。

サードパーティのインテグレーションの利用について

サードパーティのインテグレーションは引き続き利用できます。ただし、ワークスペースにインストールされているアプリについて、インテグレーションがアクセスできるデータと、アプリケーションプロバイダによる FedRAMP への準拠の有無を確認する必要があります。通常、Slack アプリはインテグレーションを提供するサービスプロバイダの API を使用します。サードパーティのインテグレーションの API が FedRAMP 認定を受けたサービスに接続している場合は、そのインテグレーションをユーザーが使用する際もコンプライアンスが適用されます。これは、Slack の展開がコンプライアンスに準拠していることを担保するための主要なユーザー責任の 1 つです。

 

退役軍人省が Slack を活用して VA.gov を運用

退役軍人省は、Slack の認定取得を支援しただけではありません。幅広く利用されている同省のウェブサイトの整備など、大規模な取り組みの計画と実行に Slack を活用しています。

同省は米国で 2 番目に大きな連邦政府機関であり、一般向けのウェブサイト(VA.gov)には、退役軍人、退役軍人の擁護者、退役軍人サービス組織、その他の仲介者など、毎週 80 万人以上のユーザーがアクセスしています。今回のコロナ禍では、アクセス数が 1 週間で 3 倍近くになりました。サイトにアクセスする人の多くは、重要な情報、ツール、サービスを得るために定期的にサイトにアクセスしています。

その舞台裏では、ウェブサイトを常に最新の状態で稼働させるために同省のウェブチームと開発チームが Slack チャンネルで連携しています。 

退役軍人省の開発チームによる Slack 活用例 :

  • アラートや通知を見落とすことがないよう、GitHubJenkins などのアプリを連携
  • 開発者にモバイル通知で問題を通知するなど、インシデントや問題を迅速に特定
  • 知識を共有し、サービス提供において一貫性を保つための実践コミュニティを構築

2019 年、同省のウェブチームと開発チームは Slack で協力し、VA.gov をリニューアルしました。この新しいウェブサイトは、過去 1 年間で 99.97% という驚異的な稼働率を誇り、何千人もの退役軍人と擁護者に必要なリソースを提供してきました。 

引き続き、退役軍人省は Slack の利用を広げています。2020 年頭には、2 万件の Slack ライセンスを購入し、全部門に Slack プラットフォームを展開しました。同省はチームを Slack に移行することで、組織の透明性を高め、コラボレーションを広げ、新しい職員や業者、パートナーとも連携することを目指しています。この新しい働き方によって、職員やパートナーにメリットがあるだけでなく、退役軍人がよりスムーズにサービスを利用できるようになります。 

ご連絡ください

Slack のセキュリティ機能、運用、コンプライアンス認定についてご質問があれば、営業担当者に直接、またはこちらからご連絡ください

この記事はお役に立ちましたか?

0/600

助かります!

ご意見ありがとうございました!

了解です!

ご意見ありがとうございました!

うーん、システムがなにか不具合を起こしてるみたいです。後でもう一度お試しください。

読み進める

コラボレーション

Slack データを実用的なインサイトに変える新しい Splunk アプリ

Slack 用 Splunk Audit API アプリで傾向の把握、脅威の特定、データに基づいた意思決定を簡単に

変革

エンタープライズ級のセキュリティを実現する強力な新レイヤー

Slack は最先端のサイバーセキュリティを 備え、皆さまの情報やデータを安全に守ります

変革

Slack データレジデンシー機能の導入

企業のポリシーとコンプライアンス要件を満たしつつ Slack 上のデータを保存する国や地域の選択が可能に

変革

ゲートではなく、ガードレールを。Slack の新しいエンタープライズ
セキュリティコントロール

Enterprise Grid の管理者向け新機能で、ワークスペースの管理がさらに簡単に。