贵别诲搁础惭笔とは?~制度の概要と认証までのプロセスを解説~
FedRAMPとは、クラウドサービスを対象とする米国連邦政府の調達要件に関する認証制度です。 本記事ではFedRAMPの概要を解説するとともに、その重要性やプロセスについて触れています。
Save to Folio
公开日:2023年11月30日
更新日:2025年2月6日
贵别诲搁础惭笔とは?
(Federal Risk and Authorization Management Program)とは、クラウドサービスを対象とする米国連邦政府の調達要件に関する認証制度です。オバマ政権下で 2011 年に掲げられた「クラウド?ファースト(Cloud First)」政策を推进するために立ち上げられ、连邦政府全体で安全なクラウドサービスの导入を促进することを目的としています。日本でも、日本版贵别诲搁础惭笔としてISMAPが同様の制度として知られています。贵别诲搁础惭笔では、政府がクラウドサービスを调达するにあたり、クラウドサービスプロバイダー(颁厂笔)が従わなければならないセキュリティ要件が定められています。このセキュリティ要件に适合し、评価机関から认証を得たクラウドサービスのみが政府と契约できるようになっています。
の认証を受けたクラウドサービスは、贵别诲搁础惭笔マーケットプレイスにて公开されています。2023年11月时点で、318のクラウドサービスが认証を受けており、105のサービスが认証のプロセス段阶となっています。
、贵别诲搁础惭笔の认証には、クラウドサービスに求められる机密性、完全性、可用性に応じたインパクトレベルが3段阶で设定されています。机密性、完全性、可用性の丧失を起因として、インパクトレベル「低」は限定的な影响、インパクトレベル「中」は重大な影响、インパクトレベル「高」は生命の保护や経済的破灭といった非常に重大な影响が想定されています。また、この3段阶に加えて「尝滨-厂补补厂」というレベルも设定されています。尝滨-厂补补厂はインパクトレベル「低」の軽量版で、ログイン机能に必要なもの(ユーザ名、パスワード、メールアドレス)以上の情报を保存しない厂补补厂アプリケーションを対象にしています。
のセキュリティ要件は、NIST SP800-53のセキュリティコントロールとガイドラインに基づいて構築されていますが、インパクトレベル別に準拠すべき項目数が異なります。インパクトレベルが高くなるほど、準拠すべき項目数が増え、求められるセキュリティレベルも高くなっています。
贵别诲搁础惭笔マーケットプレイスでは、クラウドサービスのインパクトレベルも公開されている
贵别诲搁础惭笔认証済みのクラウドサービスのインパクトレベルの割合
贵别诲搁础惭笔マーケットプレイスの情報をもとにトレンドマイクロが作成
贵别诲搁础惭笔における认証までのプロセス
、FedRAMPの認証「Authorization to Operate (ATO)」を取得するには2つの方法があります。合同認証委員会「Joint Authorization Board (JAB)」 から FedRAMP Provisional Authorization to Operate (P-ATO)を取得する「JAB Authorization」、特定の政府機関から FedRAMP ATO を取得する「Agency Authorization」の2种类です。
JAB Authorizationにおいて、認証を行う機関であるJABは、国土安全保障省(DHS)、一般調達局(GSA)、および国防総省(DOD)の最高情報責任者(CISO)から成り立っており、高位の政府機関がクラウドサービス認証を行います。そのプロセスでは、厳格な審査が含まれますが、一度JAB Authorizationを取得できると、その認証は他の政府機関に対しても信頼性の高い証明となります。各政府機関は、CSPのセキュリティコントロールやプロセスに関する詳細な情報を含み、セキュリティ評価の結果が文書化されているP-ATOパッケージを再利用(FedRAMPでは「Reuse」と定義)して、認証を付与することができます。あらかじめ、より広範な連邦政府市場向けにクラウドサービスを提供するために設計されている認証方法と理解できます。
一方、Agency Authorizationで取得したFedRAMP ATOの認証の範囲は、通常、そのクラウドサービスを認証した特定の政府機関に限定されます。これは、Agency Authorizationが特定の連邦機関によって行われ、その機関の独自のセキュリティ要件やコンプライアンス要件に合わせて行われるためです。他の政府機関が同じCSPのクラウドサービスを利用する場合、JAB Authorizationと同様に、ATOパッケージが共有され、再利用して認証を付与できます。
贵别诲搁础惭笔マーケットプレイスでは、認証タイプや認証を行った連邦政府機関を参照できるようになっている。
上記の画像ではAgency Authorizationで、認証した連邦政府機関は国立科学財団(National Science Foundation)であることが読み取れる。
贵别诲搁础惭笔の认証取得までに颁厂笔が用意すべきドキュメントは、大きく以下の4つです。
1. System Security Plan (SSP): SSPは、CSPが情報システムで使用しているすべてのセキュリティコントロールとその実装を説明する文書です。情報セキュリティポリシーと手順、ユーザーガイド、情報システム継続計画などが含まれます。
2. Security Assessment Plan (SAP): SAPは、セキュリティ評価の計画を詳細に説明した文書です。この文書は、セキュリティ評価の範囲、手順、タイムライン、および責任が含まれます。
3. Security Assessment Report (SAR): SARは、セキュリティ評価の結果を詳細に説明した文書です。この文書は、評価されたセキュリティコントロールの有効性とリスクを明確にします。リスク露出表、テストケース手順、脆弱性スキャン結果などが含まれます。
4. Plan of Action and Milestones (POA&M): POA&Mは、セキュリティリスクを軽減するための計画を詳細に説明した文書です。この文書は、特定されたセキュリティリスク、その重要性、およびそれらを軽減するための具体的な行動計画が含まれます。
颁厂笔は、これらのドキュメントを用意しながら、以下のプロセスに沿って、贵别诲搁础惭笔の认証を进めていくことになります。
Agency AuthorizationにおけるFedRAMP認証プロセス
の画像を元にトレンドマイクロにて抄訳?作成
まとめ
FedRAMPの認証取得までには、FedRAMPのセキュリティ要件となるNIST SP800-53のセキュリティコントロールへの対応に加えて、様々なドキュメントの準備が必要になり、それらに対応するためには時間や金銭面でのコストが必要になります。また、認証取得後もセキュリティ評価の報告やFedRAMPのセキュリティベースラインのアップデートがあれば、対応も求められることになります。
一方で、贵别诲搁础惭笔の认証を取得することで得られるメリットも大きく、大规模クラウドサービスを运営する公司を中心に贵别诲搁础惭笔の认証を取得する颁厂笔は増え続けています。认証を取得することで、连邦政府とのビジネスチャンスが広がるだけではなく、製品がクラウドセキュリティの最高基準を満たしていることの証明になるため、クラウドサービスの信頼性向上にも繋がります(CSPはFedRAMP認証を受けたクラウドサービスを政府機関のみに提供している場合もあります)。また、認証されていることは公開されており、例えば州政府や企業にとってもクラウドサービスの選定基準になり得ます。そのため、FedRAMP はCSPにとって、大きな投資価値がある制度となっているのです。
---------
2025年2月6日追记
トレンドマイクロは、エンタープライズ サイバーセキュリティプラットフォーム「Trend Vision One for Government」が、FedRAMP? ATOを。
详しくは、以下の记事をご确认ください。
---------
