多くの Slack ユーザー、特に公共部門のユーザーの皆さまにとって、セキュリティは最重要課題です。チャンネルベースのメッセージングプラットフォームである Slack は、米国退役軍人省(VA)から一般調達局(GSA)の 18F オフィスに至るまで、さまざまな政府機関に選ばれています。そこで Slack では最高水準のセキュリティを実現しながらコンプライアンス基準を満たせるよう、新たな対策を導入しました。
セキュリティコンプライアンスの基準を定める連邦規制当局でさえも、今や Slack を活用して業務を進めています。当局や規制業界の皆さまが安心して Slack を使えるよう、私たちはセキュリティプログラムを改善し、FedRAMP Moderate 認定を取得しました。
これは、あらゆる規模の組織にエンタープライズ級のセキュリティを提供するという取り組みの一環です。この取り組みは、各ユーザー組織に固有のセキュリティやコンプライアンスのニーズを満たしつつ、クラス最高のコラボレーション環境を提供することを目的としています。
この記事では、FedRAMP Moderate 認定の取得による皆さまへのメリットや、コンプライアンス基準達成までの取り組みを紹介していきます。
Slack が FedRAMP 認定を取得するまで
FedRAMP とは?
FedRAMP(連邦政府のリスク・認証管理プログラム)とは、クラウドセキュリティに対して標準化したアプローチを提供する政府規模のプログラムです。クラウドベースのソフトウェアシステムは、連邦機関や組織での使用開始前に FedRAMP 認定を受けなければいけません。これにより、連邦政府の全データの機密性が確保され、最終的には公共の利益につながります。業界の専門家の間では、FedRAMP はクラウドセキュリティに関する最高基準とみなされています。
FedRAMP Moderate 認定の取得
Slack は 2018 年 4 月に FedRAMP プログラムマネジメントオフィスと面談し、それから半年も経たずに FedRAMP Tailored 認定を取得しました。この認定の取得が重要な節目であることは確かですが、私たちはさらに高いレベルのセキュリティコンプライアンス基準を達成したいと考えました。
私たちは退役軍人省からの支援を受け、FedRAMP Moderate 認定を目指すことにしたのです。規制当局のパートナーは、300 以上の厳しいセキュリティ管理項目において Slack 製品をテストしました。そして 2020 年 5 月 20 日、私たちは FedRAMP Agency Authority to Operate(ATO)の影響レベル「中」を達成したのです。
つまり、Slack は次のような米国政府の規制に準拠していることになります。
- アクセス制御 : ユーザーのデータへのアクセスを効果的に制限し、管理する
- 暗号化の手法 : FIPS 140-2 で検証された暗号技術を使用し、転送中および保管中のデータを保護する
- ネットワークセキュリティとサーバーの強化 : CIS ベンチマークとベンダーのベストプラクティスを導入し、すべてのネットワークインフラを保護する
- 脆弱性管理 : 潜在的なリスクを効率的に特定し、解決する
- インシデント管理 : インシデント発生時に迅速かつ適切に対応する
- 事業継続と災害復旧 : 中断することなくシームレスにサービスを提供する
- システムモニタリング、ログ記録、アラート : 自社所有のサーバー、ワークステーションをすべてモニタリングし、システムのセキュリティを維持する
- 安全なソフトウェア開発ライフサイクル : オープンソースのツールとバグ報告機能を活用し、潜在的なセキュリティの脆弱性を特定して優先順位をつけ、解決する
高水準のセキュリティコンプライアンスがもたらすメリット
Slack が FedRAMP Moderate 認定を取得したということは、米国の公共部門で働くユーザーの皆さまに対して、継続的に投資しサポートしていくということを示しています。クラウドに移行する政府機関が増加するなか、Slack は業界の標準セキュリティ規格を超える水準を実現し、公共部門の各コンプライアンス要件を満たすソリューションも備えているため、IT 管理担当者やセキュリティ担当者の皆さまも安心です。
今回の認定取得で、ユーザーの皆さまは Slack をより安全に利用できるようになりました。もちろん、FedRAMP 認定の環境を必要としない民間企業の皆さまも安全に利用できます。Slack のサービスを使用するすべてのユーザーが、FedRAMP 認定の取得に向けて強化されたセキュリティ対策の恩恵を受けることができるのです。
引き続き皆さまの信頼を得られるよう、Slack は次のようなセキュリティおよびコンプライアンスの機能を開発していく予定です。
- ID とデバイスの管理 : シングルサインオン、ドメインの申請、エンタープライズモビリティ管理のサポートなど
- データ保護 : Slack Enterprise Key Management(Slack EKM)、監査ログ、インテグレーションなど(トップクラスのデータ損失防止プロバイダとの連携により提供)
- 情報ガバナンス : グローバル保存ポリシー、カスタムサービス利用規約、eDiscovery のサポートなど
サードパーティのインテグレーションの利用について
サードパーティのインテグレーションは引き続き利用できます。ただし、ワークスペースにインストールされているアプリについて、インテグレーションがアクセスできるデータと、アプリケーションプロバイダによる FedRAMP に準拠しているかどうかを確認する必要があります。通常、Slack アプリはインテグレーションを提供するサービスプロバイダの API を使用します。サードパーティのインテグレーションの API が FedRAMP 認定を受けたサービスに接続している場合は、そのインテグレーションをユーザーが使用する際もコンプライアンスが適用されます。これは、Slack の展開がコンプライアンスに準拠していることを担保するための主要なユーザー責任の 1 つです。
退役軍人省が Slack を活用して VA.gov を運用
退役軍人省は、Slack の認定取得を支援しただけではありません。幅広く利用されている同省のウェブサイトの整備など、大規模な取り組みの計画と実行に Slack を活用しています。
同省は米国で 2 番目に大きな連邦政府機関であり、一般向けのウェブサイト(VA.gov)には、退役軍人、退役軍人の擁護者、退役軍人サービス組織、その他の仲介者など、毎週 80 万人以上のユーザーがアクセスしています。今回のコロナ禍では、アクセス数が 1 週間で 3 倍近くになりました。サイトにアクセスする人の多くは、重要な情報、ツール、サービスに定期的にアクセスしています。
その舞台裏では、ウェブサイトを常に最新の状態で稼働させるために同省のウェブチームと開発チームが Slack チャンネルで連携しています。
退役軍人省の開発チームによる Slack 活用例 :
- アラートや通知を見落とすことがないよう、GitHub や Jenkins などのアプリを連携
- 開発者にモバイル通知で問題を通知するなど、インシデントや問題を迅速に特定
- 知識を共有し、サービス提供において一貫性を保つための実践コミュニティを構築
2019 年、同省のウェブチームと開発チームは Slack で協力し、VA.gov をリニューアルしました。この新しいウェブサイトは、過去 1 年間で 99.97% という驚異的な稼働率を誇り、何千人もの退役軍人と擁護者に必要なリソースを提供してきました。
退役軍人省は、引き続き Slack の利用を広げています。2020 年の初めには、2 万件の Slack ライセンスを購入し、全部門に Slack プラットフォームを展開しました。同省はチームを Slack に移行することで、組織の透明性を高め、コラボレーションを広げ、新しい職員や業者、パートナーとも連携することを目指しています。この新しい働き方によって、職員やパートナーにメリットがあるだけでなく、退役軍人がよりスムーズにサービスを利用できるようになります。
何でも聞いてください!
Slack のセキュリティ機能、運用、コンプライアンス認定について質問があれば、営業担当者に問い合わせるか、こちらからご連絡ください。
助かります!
ご意見ありがとうございました!
了解です!
ご意見ありがとうございました!
うーん、システムがなにか不具合を起こしてるみたいです。後でもう一度お試しください。