NIST SP 800-171

2016 年 10 月、米国国防総省 (DoD) は、統制対象の防衛情報の送信、保存、処理に関わるため、クラウドコンピューティングサービスを継続的に使用するという観点から、より具体的な指針を提供するために、政府による委託先の取得要件を更新しました。クラウドサービスが委託先によって米国政府のために運用されているシステムの一部として使用される場合、こうしたクラウドサービスは DoD Cloud Computing Security Requirements Guide (SRG) で定められた要件に従うことが求められます。クラウドサービスが委託先によって米国政府のために運用されているわけではないシステムの一部として使用される場合、こうしたクラウドサービスは Federal Risk and Authorization Management Program (FedRAMP) で定められた中程度の影響の要件に従うことが求められます。2014 年 5 月から、Salesforce は Salesforce Government Cloud について中程度の影響レベルで FedRAMP Authority to Operate (ATO) を維持してきました。さらに 2017 年 1 月には、国防情報システム局 (DISA) から情報影響レベル 4 (IL4) で Salesforce Government Cloud の暫定認可を受けました。こうした認可は、DoD のミッション所有者およびその認定委託先による個人を特定できる情報 (PII)、保護されるべき医療情報 (PHI)、その他不正な開示から保護する必要があるミッションクリティカルなデータを含む統制対象の非機密情報 (CUI) の管理に役立つ可能性があります。詳細は、https://www.salesforce.com/solutions/industries/government/overview/ をご覧ください。