GitHub を使用した、米国連邦政府によるオープン ソースへのアクセス

Microsoft Corporation の GitHub 買収により、ソフトウェア開発分野におけるコードのホスティング サービスの立ち位置が固まったのと同様に、Enterprise Cloud が FedRAMP 認証を取得したという最近の GitHub による発表により政府機関が安全にオープン ソース開発の世界に参加する方法が初めて提供されました。

従来、連邦政府ユーザーは GitHub の Team プランまたは GitHub Enterprise Server プラットフォームを活用してオンプレミスまたは独自のプライベート クラウドでホストしてきました。過去 1 年は、全てがクラウドに存在する GitHub Enterprise Cloud を使用することができました。GitHub Enterprise Cloud ではシングル サインオンや二次 ID プロバイダー (政府 PIV カードや CAC カード) を使用でき、拡張サポートやサービスレベル同意書が含まれます。

「GitHub.com には以前から[政府]のお客様がいましたが、彼らは Team プランでのシャドー IT やミッション クリティカルではないシステムとして使用していました。GitHub.com は ATO [運用権限] を持っていなかったため、組織の日常的なミッションクリティカルな用途に適合すると見なされていませんでした」と GitHub のプリンシパル アーキテクトである Jamie Jones 氏は話しました。

10 月にそれが変わりました。GitHub が比較的新しいプロセスである FedRAMP Tailored という FedRAMP 運用権限を取得したのです。FedRAMP Tailored は合理的なセキュリティ認証プロセスを提供しており、GitHub のような Software as a Service プロバイダーにより適しています。「今では、GitHub がマネージ、ホストするハードウェアでこれをできる場所を提供しています」と Jones 氏は言います。

GitHub Enterprise Cloud の機能はオンプレミス サービスである GitHub Enterprise Server の機能と早くも同等になるか、一部の機能では超越しています。ただし、GitHub Enterprise Cloud に切り替える大きな利点は、オープン ソース開発である GitHub 全体とコラボレーション リソース、そしてこれらのリソースに貢献している巨大な開発者コミュニティへのあらゆる規模のアクセスを機関に提供することです。

今では、GitHub がマネージ、ホストするハードウェアでこれをできる場所を提供しています

- Jamie Jones 氏

「現在開発される平均的なソフトウェア製品は、そのコードの 57% 超が実はオープン ソースであるか、他のプロジェクトから持ち込んだものです」と Jones 氏は言います。「最新のソフトウェアではオープン ソース市場と連携できることが重要になりました」

その市場の規模は想像を絶しています。GitHub は最近の年次ユーザー・開発者会議で、現在 GitHub.com に 3,100 万人以上のユーザーがいることを発表しました。今、政府機関が数千人の開発者から成る、GitHub の Enterprise コミュニティに限定して運用したら、はるかに大きなコード ベースと人材プールが手に入ります。

世界中の政府が GitHub を使用しています。GitHub の統計によると、最新の集計では 143 の連邦民間機関、14 の国防省機関、48 の州機関が GitHub を活用してコード、データ、ポリシー、調達において協働しています。プラットフォームの 3,100 万人のユーザーに加え、組織の数は 40% 増加して 210 万となり、コード リポジトリも同様に増えて現在では 1 億を超えています。

最新の集計では 143 の連邦民間機関、14 の国防省機関、48 の州機関が GitHub を活用してコード、データ、ポリシー、調達において協働しています。

- Jamie Jones 氏

FedRAMP Tailored

GitHub は FedRAMP Tailored を利用する最初のクラウド サービス プロバイダーのうちの 1 社です。本来、米国連邦政府が定める義務的なセキュリティ制御の項目をクラウド コンピューティング サービスが満たしていることを政府機関が認定できるようにサポートすることが FedRAMP の目的でした。認定を受けると、同じ認定プロセスを繰り返すことなく同じサービスを他の政府機関が導入できることになります。しかし、このプロセスは時間がかかり、高額で、当初は Infrastructure as a Service (IaaS) プロバイダーおよび Platform as a Service (PaaS) プロバイダー、つまり AWS、Google、IBM、Microsoft などの従来の大規模なクラウド プロバイダーをターゲットにしていました。

一方で、リスクと影響が少ないデータを処理し、ネットワーク セキュリティ コントロールをホストしていない Software as a Service (SaaS) プロバイダー向けに FedRAMP を調整することを、米国共通役務庁内の FedRAMP プログラム オフィスはチャンスだと捉えていました。

FedRAMP プログラム オフィスのディレクター代理の Ashley Mahan 氏によると、FedRAMP Tailored の評価プロセスでは NIST 800-53 の技術制御の一部のみに焦点を当てており、ポリシー、手順、管理に関するトレーニング、公開データまたは非極秘データの使用に関してより注視しています。

「このようにすることで、認証プロセスが迅速かつ効率的になって、ベンダーの市場投入までの時間が短縮され、政府機関が変革的なクラウド テクノロジーの恩恵を受けるまでの時間がはるかに短くなります」と Mahan 氏は話します。

これにより、FedRAMP 運用権限のエコノミクスに GitHub の手が届くようになったと Jones 氏は言います。しかし、政府機関がより幅広い Software as a Service プロバイダーと協働する機会も開かれます。

「従来のクラウド プロバイダーとは対照的に、FedRAMP Tailored はシステムが必要とする適切なセキュリティを考慮しながら連邦政府にサービスを簡単に利用してもうための、GitHub のような SaaS ソリューション向けの FedRAMP 認証の取得方法として開発されました」と Jones 氏は話します。

今や、政府機関は FedRAMP マーケットプレイスに行って認証をプルダウンから選び、政府が SaaS 向けに設定したベースライン セキュリティ要件を満たすプラットフォームを、確信を持って使い始めることができるようになりました。「一部の機関では運用権限取得までの時間をたったの数分にまで短縮できます」と Jones 氏は言います。

FedRAMP 認証を持つ Enterprise Cloud の重要な利点の 1 つは、政府機関の ID と認証ツールをサポートできるようになったことです

- Jamie Jones 氏

ビジネス ケース

Jones 氏によると、GitHub の Team または Enterprise ライセンスを使用している政府機関が FedRAMP 認証済みの Enterprise Cloud ライセンスに移行しない理由はなく、さらに、ほとんどの場合、多くの利点を得られます。

「FedRAMP 認証を持つ Enterprise Cloud の重要な利点の 1 つは、政府機関の ID と認証ツールをサポートできるようになったことです。GitHub が提供するファスト サポート リクエストや SAML および外部 ID プロバイダーを使用できるなどの追加機能は管理の負担が大きく減ります」と Jones 氏は言います。

FedRAMP 認証済みの GitHub Enterprise Cloud では、Enterprise のお客様には提供されない、強化されたセキュリティ サービスおよび機能が提供されます。

たとえば、最近では脆弱性アラート サービスがロール アウトされました。National Vulnerability Database とのコラボレーションを通じて昨年開始されたサービスで、Ruby、JavaScript、Python、Java、.Net の脆弱性について、FedRAMP 認証済みの GitHub Enterprise Cloud を介してアラートを直接提供します。GitHub は 400 万件を超える脆弱な依存関係を特定し、昨年はそのうちの 100 万件超を解決しました。

GitHub が既知の脆弱性を持つライブラリを使用していることを発見すると、このアラート サービスがフラグを付け、リポジトリ管理者にアラートを送信します。GitHub は脆弱性を修正したことのある開発者に、潜在的にアップグレードが必要なものをアラートとして知らせます。

より高いセキュリティと脆弱性保護の機能を提供することは、政府機関のビジネス スピードを向上することだと Jones 氏は言います。

「政府職員や請負業者を雇用すると、適切なハードウェアとシステムにアクセスして仕事を開始するまでに数日、または数週間かかるという話を私たちはいくつも聞きました。しかし、GitHub に政府機関のファイアウォールの内側からではなくインターネットからアクセスでき、規格に準拠した安全な方法で GitHub 使用できるため、政府機関ユーザーはすぐに仕事を始め、作業スピードを向上できます」と Jones 氏は話します。

「以前より、GitHub のオンプレミス バージョンである GitHub Enterprise Server の使用には深い理解を示していただいています」と Jones 氏は言いました。「しかし、Enterprise Cloud の FedRAMP 認証バージョンでは、インターネットとクラウドで稼働している SaaS と GitHub を連邦政府ユーザーが本当に活用できようになると私たちは期待しています」

GitHub Enterprise Server から GitHub Enterprise Cloud への移行は舞台裏でシームレスに行われます

- Jamie Jones 氏

GitHub Enterprise Server から GitHub Enterprise Cloud への移行は「舞台裏でシームレスに行われる」と Jones は言います。「Enterprise Cloud に移行すると多くのインフラストラクチャとワークロードをクラウドに移行でき、これによりクラウドファースト義務を満たすことができるようになることが主な利点です」