FedRAMPとは?ドキュサインは2つの製品で認証を取得
連邦政府機関がクラウド・コンピューティング・ツールを購入する際には、一般的な組織よりも厳格なセキュリティとアクセス管理が求められます。そこで、ツールを購入する連邦政府機関を支援するため、クラウド製品・サービスのセキュリティ評価、認証、継続的な監視に関する標準化されたアプローチの提供を目的にFedRAMP(Federal Risk and Authorization Management Program、米国政府機関におけるクラウドセキュリティ認証制度)が設立されました。
FedRAMPはクラウド製品を精査し、一定のセキュリティ基準に合格したテクノロジーに認証を与えます。この標準化されたアプローチにより、各機関はクラウド製品の購入を検討する度に必要とされる独自のセキュリティ調査を行う時間と手間を省くことができます。
FedRAMPにおける認証は、保護の必要があるデータの種類に応じて、Lite(軽)、Low(低)、Moderate(中)、High(高)の4つのインパクトレベルに分けられています。各レベルには、ひとつ下のレベルのすべてのセキュリティ基準に加えて、より厳しい規則が含まれます。例えば、FedRAMP Moderateは、約80%の連邦政府機関のニーズに応えているとみなされ、管理された非機密データ、個人の特定が可能な情報(PII)、保護対象保健情報(PHI)を扱うことができます。
FedRAMP認証を取得しているDocuSign製品
DocuSign製品のうち、FedRAMPの認証を取得し、FedRAMPマーケットプレイスのリストに掲載されているのは、「DocuSign eSignature」と「DocuSign CLM」です。ともに、Moderate(中)のインパクトレベルで認定されています。
一般的に、電子署名は極めて安全です。実際、電子署名には偽造を防止するためのレイヤーが複数追加されているので、「紙」よりも安全に利用できます。つまり、FedRAMP認証は、DocuSign eSignatureのセキュリティ基準の高さをより明確に証明しているといえます。
DocuSign eSignatureを利用する連邦政府機関には、他にも大きなメリットがあります。それは、安全性の高いガバメントクラウド(政府クラウド)へのアクセスが可能であるという点です。このクラウド環境は、アクセスキーやエンベロープ(契約文書および付随するデータが入った電子封筒)などを含む、政府データのみを格納する特別なサーバー上で実行されています。このような高度なセキュリティ環境は、政府データを民間セクターや消費者データから隔離することで、セキュリティリスクを最小限に抑えることを目的としています。ドキュサインは、ガバメントクラウド上にデータを持つ連邦政府機関向けに、米国コンピュータ緊急事態対策チーム(US-CERT)が定めたセキュリティ・インシデント報告に関する最も厳格なガイドラインに従っています。
エンドツーエンドの契約プロセスで「契約」を最適化
効率性とセキュリティを重視する連邦政府機関にとっては、高いレベルの機能を確保しつつ、テクノロジースタック内のツールの数を最小限に抑えることが重要です。DocuSign eSignatureおよびDocuSign CLMはともにFedRAMPの認証を取得しており、当社の製品を導入した機関は、契約や、助成金関連またはその他の書類を含む、すべての契約プロセスを管理するためのエンドツーエンドのプラットフォームを構築することができます。DocuSign eSignatureもDocuSign CLMもModerate(中)のインパクトレベルで認定されているため、同等レベルのセキュリティを必要としている場合、セキュリティの低下を心配することなく、両製品を併用できます。現在、DocuSign CLMを活用している政府機関のリストは、FedRampマーケットプレイスをご覧ください。
FedRAMP認証のセキュリティ基準
FedRAMPのModerate(中)レベルに到達・維持するために、ドキュサインは325の異なる規定を満たしています。すべての規定をクリアして「中」の評価を得た後も、その基準を維持するために、同じセキュリティ規定のリストについて継続的に監査を受けています。
「中」よりもセキュリティ基準が低い製品は、そのぶん保護力が弱く、保存できる情報の種類も限られます。
契約関連のニーズに対応するために、これまで1,300を超える連邦、州、および地方機関がDocuSign製品を採用しています。活用例は多岐にわたりますが、一般的なユースケースとしては、調達、人事、ライセンス、許認可などが挙げられます。ドキュサインは、ペーパーワークをエンドツーエンドで管理する明確なプロセスを提供し、書類にまつわる諸問題を解決できるよう支援しています。当社のテクノロジーは、契約業務のあらゆるステップを管理する合理的なワークフローを実現します。
ドキュサインのセキュリティ基準、FedRAMP認証、および連邦政府機関がドキュサインの製品を使用してどのように契約業務を改善しているかについては、データシート(英語)をご覧ください。
※本記事は「Are DocuSign Products Authorized by FedRAMP?」の抄訳です。
