はい、FedRAMP認証は、OMBの指示に従って連邦政府機関が使用するすべてのクラウドサービスに必須です。
Federal Risk and Authorization Management Program(FedRAMP®)は、米国連邦政府のクラウドサービスの評価、承認、監視のための標準化されたアプローチを確立します。米国連邦政府機関と連携しようとするすべてのクラウドサービスプロバイダー(CSP)は、FedRAMPに準拠し、連邦クラウドセキュリティ標準への準拠を証明するクラウドソリューションの認定を取得する必要があります。
このプログラムは、General Services Administration(GSA)内のFedRAMP PMO(Program Management Office)によって管理され、クラウド内の連邦情報システムを保護するために米国行政管理予算局(OMB)が義務付けた要件を実装します。クラウド環境を標的とするサイバー脅威が増加している中、政府機関はすべてのCSPのセキュリティ体制と連邦情報を保護する管理を徹底的に評価する必要があります。
2011年に設立されたFedRAMPは、連邦政府機関全体で管理されている非機密情報を処理するためのクラウドテクノロジーのセキュリティ認可を発行するための正式なプロセスとして機能します。
FedRAMP認証の歴史と目的は何ですか?
FedRAMPが導入される前は、クラウドプロバイダーは政府と協力する際に大きな課題に直面していました。
- 各連邦政府機関は、情報システムに関する独自のセキュリティ評価手法を必要としていた
- セキュリティ基準が部門間で一貫していない
- プロバイダーが冗長な文書化と評価を完了
- クラウド導入プロセスに時間と費用がかかっていた
- セキュリティの可視性が機関によって異なる
米国政府は、セキュリティ評価、認可、継続的な監視を標準化する「一度認定すれば何度でも使用可能な」フレームワークを実装することで、これらの問題を解決するためにFedRAMPを作成しました。OMBは2011年に連邦政府機関のクラウド展開にFedRAMPコンプライアンスを必須としました。2022年にFedRAMP承認法によってプログラムが正式に法制化されたことで、このアプローチはさらに正当性を高めました。
FedRAMP認定の取得方法:要件とプロセス
FedRAMP認証は、世界で最も厳格な認定の1つです。このプロセスは、National Institute of Standards and Technology(NIST)SP 800-53セキュリティ制御に基づき、3つの影響レベル(ILS)にわたる詳細な手法に従います。
- FedRAMP影響度(低):リスク許容度の低いシステム向け
- FedRAMP影響度(中):リスク許容度が中程度向け
- FedRAMP影響度(高):リスク許容度の高いシステム向け
FedRAMP認証の重要な手順とは?
- 準備状況の評価:組織は、正式なプロセスを開始する前に、FedRAMP準備状況の評価を任意で完了し、対策を評価できます。
- システムセキュリティ計画(SSP)の開発:NISTガイドラインに従って、情報システムのすべてのセキュリティ制御と実装を文書化します。
- セキュリティ制御実装:FedRAMPコンプライアンス要件を満たすようにシステムを設定し、技術、運用、管理の制御を実装します。
- セキュリティパッケージの準備:SSP、セキュリティ評価計画、関連するアーティファクトを含む包括的なドキュメントを作成してレビューします。
- 3PAO Assessment:サードパーティの評価組織による独立したテストにより、セキュリティ制御が適切に実装され機能していることを確認します。
- POA&Mの作成:特定された問題のアクションプランとマイルストーンを作成し、修復活動のタイムラインを確立します。
- セキュリティ認可:2024年8月現在、FedRAMPプログラムには認証パスが統合されています。CSPは、FedRAMP Readyセキュリティパッケージを直接送信するか、またはスポンサー機関を通じてFedRAMP Authorizedステータスを取得できます。
- 継続的な監視:自動化された監視ツールと定期的なコンプライアンス検証を通じて、継続的なセキュリティ評価とレポート作成を実施します。
FedRAMP PMOは、このプロセス全体を通じてガイダンスを提供し、組織がクラウドソリューションのFedRAMP準拠ステータスを達成するために役立つテンプレート、ドキュメントリソース、要件の明確化を提供します。
FedRAMPとDoDクラウド・コンピューティング・セキュリティ要件の違い
国防総省(DoD)はFedRAMPを基盤としており、Cloud Computing Security Requirements Guide(CC SRG)に追加要件があります。これにより、クラウドセキュリティのDoD ILSを確立します。
- IL2:管理されていない非機密情報
- IL4:管理された非機密情報(CUI)
- IL5:強化された保護を必要とするミッションクリティカルなCUI
- IL6:最高機密(SECRET)レベルの機密情報
これらのフレームワークの関係は、セキュリティに対する標準化されたアプローチを示しています。
- FedRAMP Moderate = IL2
- FedRAMP High + DoD固有の制御= IL4/IL5
- FedRAMP High +広範な追加制御= IL6
FedRAMP認証は、政府および業界にとってどのようなメリットがありますか?
政府機関のメリット:
- 標準化された評価手法によりセキュリティ侵害のリスクを軽減
- 既存のセキュリティ認可を使用した時間とリソースの節約
- クラウド展開全体で一貫したセキュリティ標準
- 継続的な監視によるセキュリティ体制の強化
- GSAの買収手段による安全なクラウドテクノロジーの迅速な調達
- 自動化ツールによる継続的なセキュリティ監視とコンプライアンス
クラウドプロバイダーのメリット:
- 認証プロセスの合理化:一度認定すれば何度でも使用可能
- GSAスケジュール契約による連邦市場へのアクセスの拡大
- セキュリティの信頼性とポジショニングの強化
- 包括的な評価による全体的なセキュリティ体制の改善
- 民間部門の信頼性の向上
- FedRAMP Marketplaceでの可視性
FedRAMP.govのリソース
Akamai が選ばれる理由
Akamai は、オンラインビジネスをサポートして保護する、サイバーセキュリティとクラウドコンピューティングの企業です。市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバルな運用チームが、あらゆる場所で企業のデータとアプリケーションを保護する多層防御を提供しています。
