Proofpoint Security Awareness Training Announces FedRAMP In Process Status

Proofpoint Security Awareness Training(PSAT)がFedRAMPの「In Process」 ステータスを取得

August 07, 2019
Mike Bailey

Proofpointは、PSAT(Proofpoint Security Awareness Training)がFedRAMP(Federal Risk and Authorization Management Program)の「In Process(進行中)」ステータスを取得したことを発表しました。現在、その次の段階であるFedRAMP Agency Authorizationへ向けて、FedRAMP Program Management Office(PMO)と協力して作業しています。

【訳注】 FedRAMPは米国連邦政府共通のクラウドサービス調達のためのセキュリティ基準で、製品やサービスを米国政府に提供するクラウドサービスプロバイダー(CSP)はFedRAMPの認定を受ける必要があります。認可ステータスには「Ready」「In Process」「Authorized」があります。

FedRAMPは米国政府共通のプログラムで、政府機関のITコストの約30-40%を削減します。認定プロセスが完了すると、PSATはModerate-ImpactのSaaSとして認定され、ProofpointはPII(Personally Identifiable Information:個人を特定できる情報)のようなコントロールされた非機密情報と共に300以上のコントロールを管理できるようになります。

クラウドを活用して連邦政府機関のセキュリティを改善

Proofpointは、最も価値があり最も攻撃されている資産である人々を保護することを目指しており、FedRAMP認定取得への取り組みもその幅広いコミットメントの一部です。Email Protection、Targeted Attack ProtectionおよびEmail Data Loss PreventionなどのProofpointメールセキュリティソリューションもFedRAMP認定の取得作業中で、すでにFCC(連邦通信委員会)からFedRAMP Authority to Operate(ATO)を取得しています。

ATOは、General Services Administration(GSA)からFedRAMP認定を取得する重要なステップです。

FedRAMP Moderate-Impact SaaS Low-Impact SaaS

政府機関がFedRAMPのLow-Impactソリューションではなく、PSATのようなModerate-Impactソリューションを利用する主なメリットは2つあります:

まず、Moderateソリューションでは、PIIデータを保護するための厳格なセキュリティの実装と運用のための要件が設定されていますが、Low-ImpactのSaaS実装にはそれがありません。Low-Impactソリューションでは、PIIが何を意味し、セキュリティ意識向上プログラムがどのようなPIIを収集するかを政府機関が決める必要があります。政府機関によって、PIIにどの属性(電子メールアドレス、姓または名、部門、年齢、役職、勤務地、雇用開始日、および多くの組織がレポートに含めるその他の一般的な属性)を含めるかが異なります。

第2に、政府機関は、セキュリティ意識向上トレーニングプログラムと受講者の間で交わされるデータの機密性を確保する必要がありますが、FedRAMPのModerateソリューションは、シミュレートされたフィッシング攻撃、知識評価、トレーニングモジュール、報告されたフィッシングメールなどと受講者の間のインタラクション、あるいはプラットフォームとの間のその他のインタラクションを保護し、これらのインタラクションを経時的にレポートして進捗を測定できるようにします。Low-ImpactのSaaS実装では、保護要件は遙かに弱いため、政府機関は従業員データを保存および報告するリスクを負いたくないと考えるかもしれません。

FedRAMP自身は、Moderate-Impactレベルの認定が最も適切であると述べています。「FedRAMP認定を取得するCSPアプリケーションのほぼ80%が該当し、機密性、整合性および可用性が失われた場合に政府機関の運用資産または個人に深刻な悪影響が生じるようなサービスに最適です。」

それとは対照的に、Low-Impactレベルのセキュリティ意識向上トレーニングプログラムは、「機密性、整合性および可用性が失われた場合でも、政府機関の業務、資産、または個人への悪影響が限定的であるサービスにのみ」適しています。

連邦政府機関向けのセキュリティ意識向上トレーニング

Proofpointは重要な任務を遂行する多くの連邦政府機関と協働する立場として、データ、資産、および人々の保護についてお客様に安心を与えることが重要であると考えています。このModerate-ImpactレベルのFedRAMP実装が完了すると、連邦政府機関は自信を持ってPIIを安全に運用し、継続的に状況をレポートできます。

Proofpointは業界を主導するポジションにあり、FedRAMPへの投資によって連邦政府機関のお客様にもより良いサービスを提供できます。Proofpointのセキュリティ意識向上トレーニングソリューションはGartnerのマジッククアドラントにおいて6年連続でリーダーとして認定されており、これをさらに継続して革新することで、この重要なセグメントのニーズにクラス最高のセキュリティで応えることができます。

連邦政府向けの製品の詳細については、連邦政府のソリューションページをご覧ください。