運用許可(ATO)とは何ですか?

「操作の許可」という用語は、既存のシステムで使用される製品の許可を指します。これは、連邦政府で情報技術のためによく使用されます。たとえば、ソフトウェアプログラムを従業員がネットワークにインストールする前に、そのプログラムにATOが必要になる場合があります。ATOを発行する機関は、製品またはサービスが既存のシステムで機能することを証明します。民間企業やその他の組織もATOを使用しています。

組織がATOを使用する理由

組織は何らかの理由でATOを使用できますが、主にセキュリティまたは運用の整合性が懸念される場合にATOを使用します。たとえば、組織のコンピュータネットワーク内で使用するように設計されたソフトウェアアプリを開発する場合、これらの両方の領域で懸念が生じる可能性があります。製品をネットワークに接続することを許可する前に、組織はまず、ネットワークデータを危険にさらす可能性のある欠陥が製品にないことを確認する必要があります。また、製品が正しく機能し、他のアプリや機器で問題が発生したり、不要なテクニカルサポートの問題が発生したりしないことを確認する必要があります。

ATOの申請

製品をそこで使用する前に組織がATOの取得を要求する場合は、その組織内の適切な認証機関に連絡する必要があります。テストできるように、製品のサンプルを提供する準備をしてください。政府機関の場合は、セキュリティスクリーニングも受ける必要があります。審査プロセスにかかる時間は大きく異なります。国防総省のような組織の場合、このプロセスには数年かかる場合があります。

政府のATO

連邦情報セキュリティ管理法は、連邦政府機関が製品のセキュリティリスクを評価および監視するためのシステムを整備することを要求しています。これらは、国防総省情報システム庁のように各部門によって個別に実装される場合もあれば、複数の政府部門向けにクラウドベースの製品とサービスを認定する連邦リスクおよび認可管理プログラムのような部門間機関を通じて実装される場合もあります。各機関の認証機関は異なります。製品に適した代理店を特定したら、その認証機関に連絡する必要があります。

ATOステータスの種類

ATOを申請すると、3つのステータスのいずれかが与えられる場合があります。製品にATOが発行されている場合、その製品は組織内で使用できます。 ATOは通常、3年間などの指定された期間付与され、その後、製品を再度評価する必要がある場合があります。操作の許可の拒否は、製品が組織の環境内で使用されない可能性があることを意味します。運用の暫定承認は、承認または拒否されるまで、短期間または限られた条件下で発行される場合があります。