Exostar社は2000年にロッキードマーティン、ボーイング、BAEシステムズ、レイセオン、ロールスロイスの5社共同出資で設立され、セキュアネットワーク上での各社EDIの運営、ITARに対応した情報共有ツールの提供など、大きな役割を果たしている企業です。
目次
Exostar社の設立背景
Exostar社は2000年に航空関係5社の共同出資でサプライチェーンマネージメント、共同研究開発への対応を目的として設立されました。
設立当時には、欧州における航空宇宙関係のサプライチェーンであるAeroboostの設立にも参画しています。
ネットワーク関係の業務をCertiPath社として分離したのち、クラウドサービスのモデルを推進しており、現在では、医療関係からも出資を受けその業容を拡大しています。
下図に示す通り、147か国、15万社、30万ユーザの規模となっています。業務範囲も航空・防衛からライフサイエンス、ファイナンスサービスへ拡大しています。
なお、2020年にはThoma Bravoという投資会社が資本投下し、さらに業務の拡大を図ることをアナウンスしています。
Identity Hub(MAG等)の概要
Identity HubであるManaged Access Gateway(以下MAG)について説明します。
MAGは同社が持つIdentity Hubサービスの一つで、航空・防衛産業向けにサービス提供されています。
ここで、様々なユーザの様々な形態の認証情報を受け取り、アクセスする必要のあるサービスへ振り分けをしています。
図に示しているのは同社が運営している、航空・防衛産業向けのMAGです。様々な会社・機関が発行したIDが同社のIdentity Hubを通じて、それぞれに設定されたアクセス権限に合致した各社が提供する複数のサービスにアクセスすることを可能にしています。
このサービスには各社が提供するEDI(調達関連)のサービス、Exostar社自身が提供する情報交換のサービス(ForumPass)などがあります。
この仕組みにおいては、Identity Hubによるシングルサインオン、及び、アクセス制御の実施、個別のサービス毎のアクセス制御の実施といった、ユーザの権限に応じたアクセス管理が実施されています。
MAGにより許可された人のみが参加するインターネット上の閉鎖空間を築き、セキュアな領域を作りだし、そして、複数のサービスに対するシングルサインオンを実現しています。
現在(2015年時点)、同社はIdentity Hubを3つの業界に展開しており、最初にサービスしたものが“MAG”です。
その他には、民間航空向けの”DAF”、ライフサイエンス向けの“SAM”を運営しています。
”SAM”は新しくサービスを開始したものですが、電子処方箋等の仕組みなども用意され、航空・防衛業界と同様の仕組みで、調剤業務を行える仕組みを提供しています。
セキュアな情報共有基盤(ForumPass)
ForumPassは輸出管理法やITAR等にも対応したセキュアな情報共有システムです。
ForumPassは、MicrosoftのSharePointをベースにした企業間コラボレーション・プラットフォームにおけるデータ共有基盤を提供するものです。
ForumPassは、輸出管理法およびITARを含め、セキュリティ、プライバシー、及びコンプライアンスに関する最も厳しい要件に対応しています。
ForumPassは、ITAR規制対象の技術データを共有&交換する際に必要となる機能をユーザに提供します。
またExostar社は、企業とその顧客・パートナーのITARコンプライアンス基準への適合性を保証するポリシーと実施手順をサポートする管理機能も整備しています。
これらの管理機能、ポリシー、および実施手順はExostar社とそのユーザによって定期的に監査しており、結果として各々が該当する輸出規制に準拠していることを関連行政機関に示すためのサービスもあります。
また、ForumPass DRMでは、PC等にダウンロードした状態を含めた全ての状態でファイルは暗号化管理され、認証をパスしない限り解読できない仕組みです。
これは、NIST SP 800-171で求められるセキュリティ要件のうちアクセス権限管理、識別と認証、インシデント対応、リスク評価に容易に対応できる機能となります。
Exostarのアクセス権限管理
アクセス権限管理は、以下の通り身元確認、識別&認証、認可の3つの主要機能に分けられます。
- 身元確認(アイデンティティ認証):システムにより、如何なるユーザのアイデンティティも判断できなくてはなりません。そのためには、ユーザの身元確認(プルーフィング)を規定通りに行い、当該コミュニティに加入する十分な資格があることを確認します。
- 識別&認証(認証ポータル):システムがユーザを識別した後、正規ユーザのみがアクセスを許可されるようにユーザ・アイデンティティの検証が必要となります。本当に本人であるか等を確認するために、多要素認証の仕組みなどが使われます。
- 認可:識別&認証が成功した場合、システムは定められた基準に従い、ユーザに対してアプリケーションやデータへのアクセスを許可します。これには、MAGで行う前段と、各アプリケーションで行う後段の認可に分けられます。
Exostarのクレデンシャル(識別と認証)
Exostarのアイデンティティ・アクセス管理(IAM)プラットフォームは、社内外の「信頼できる」ユーザに対して企業のアプリケーションとデータにアクセスを許可する、クラウドベースのソリューションです。
情報資産のオーナーは、権限を割り当ててアプリケーションやデータへのアクセスを決定します。
管理者もまた、Exostarのソリューションが実行する、アクセス用クレデンシャルの所望の種類・強度を割り当てることができます。
以下に、提供しているクレデンシャルの例を示します。
FIS電子証明書によるインシデント対応
DFARS 252.204-7012の要件には、企業情報システムのインシデント対応計画の策定が示されています。
インシデント対応計画には、インシデントを把握・記録し、企業内外の適切な機関や職員に報告するための適切な準備、検知、分析、格納、リカバリ、およびユーザ対応アクティビティが含まれます。
企業システムでインシデントが発生した場合、請負企業は72時間以内の米国防総省最高情報責任者にインシデントの報告が必要です。
この要件を満たすには、最高情報責任者への報告サイトにログインする際に多要素認証が必要であり、Exostar社が発行する連携アイデンティティソリューション(FIS電子証明書–中位ハードウェア保証レベル)で対応可能です(日本国内では、FBCAと相互認証可能なこの種の証明書は発行されていません)。
Exostar White Paper(Eva翻訳)
ここでは米国の認証ソリューションのトップランナーであるExostar社が公開したWhitePaperから、弊社で翻訳したものをご覧いただけます。
最新の状況/原文は、以下のサイトから検索できます。