DoDクラウドコンピューティング セキュリティ要件ガイドの影響レベル

最近、IL5という用語を見かけることが何回かありましたので、まとめてみました。

IL(情報影響レベル、information impact level)とは、米国国防総省(DoD)の国防情報システム局(Defense Information Systems Agency: DISA)が策定するDoDクラウドコンピューティング セキュリティ要件ガイド(DoD Cloud Computing Security Requirements Guide : SRG)における情報の分類です。

現行のSRGは、2022年1月発行のCloud Computing SRG – Ver 1, Release 4ですが、2023年9月に新バージョンのドラフトが公開されています。以下では、現行のSRGに従って、内容を見ていきます。

米国連邦政府では、調達・使用するクラウド製品について一般的にFedRAMPというフレームワークを用いていますが、FedRAMPは、機密情報(classified information)を扱う国家安全保障システム(National Security System: NSS)を対象としていないため、DoDの情報システムではFedRAMPにおいて用いられるベーシックなRMF(risk manegement framework)の情報分類low, moderate, highでは不十分であるとして、情報の機密性(confidentiality)及び完全性(integrity)に関して特段の配慮をして作られたのがSRGにおけるILの分類です。ILは以前は6分類ありましたが、現在は4分類(IL2, IL4, IL5, IL6)にシンプル化されています。

分類の概略は下表の通りです。
各ILにおいて要求される管理策(control)は、基本的には、NIST SP800-53r4の管理策に準じています。

商用製品でIL5の運用認証を受けているということは、かなり高度なセキュリティ管理策を実装しているということを意味することとなります。

ご参考になりましたら幸いです。

影響レベル 扱う情報 要求される管理策 要求される機密性/完全性のレベル
IL2 公開情報 / 非公開だが非機密であって不正開示があってもその影響が限定的である情報 FedRAMP moderateベースライン 低/中
IL4 CUI(controlled unclassified information、管理対象非機密情報)その他のミッションデータ IL2+CUI向けの管理策 / FedRAMP highベースライン 中/中
IL5 CUIやミッションデータの中でも高度の保護を要するもの / 非機密の国家安全保障情報(U-NSI) IL4+NSS向けの管理策 中/中(※)
IL6 Secret(極秘)までの機密情報 IL5+機密情報向けの管理策 中/中(※)

※SRGでは、機密性/完全性について、現時点では、高/高に分類される情報はサポートしていない(商用品でそうした情報は扱わない)ということです。