Federal Risk and Authorization Management Program (FedRAMP) は、連邦政府機関へサービスを提供するクラウドサービスプロバイダに対して標準化されたセキュリティ要件を提供するために開発された、政府全体のサイバーセキュリティプログラムです。
データ侵害の発生がますます頻繁になり、格好の標的となる可能性がある企業は、当然ながら顧客から不信感を抱かれてしまいます。誰もハッキングされるリスクの高い企業と取引しようとはしません。連邦政府に関しては、これが特に当てはまります。
連邦政府機関は侵入不可能なセキュリティを備えていると思われがちですが、データはそれとは逆の事実を示唆しています。他の企業と同じぐらい脆弱なことに加え、ハッカーから最も標的にされやすくなっています。
記録では、2018 年はサイバーセキュリティに関して米国政府にとって最悪の年でした。この年、報告された連邦機関への侵害は 13,107 件にも上りました。その結果、合計 137 億ドルのコストが発生しました。
政府機関が国やその国民に関して保有している情報の機密性を考えると、このような脅威が主な不安材料になります。
このため、連邦政府は、すべてのパートナー企業が従う必要のあるガイドラインを施行して、サイバーセキュリティを真剣に受け止めています。政府はパートナーが高いサイバーセキュリティ標準と認証を維持できるようにして、リスクを軽減しています。
Federal Risk and Authorization Management Program (FedRAMP) は、企業が安全なクラウドサービスと製品を提供できるよう支援するための政府のイニシアチブの 1 つです。
この記事では、概要、目的、作成時期、適用対象、重要である理由、認定を受けるために必要なもの、FedRAMP 認証手順など、FedRAMP について包括的に説明します。
Federal Risk and Authorization Management Program (FedRAMP) は、クラウド製品およびサービスのセキュリティ評価、認定、継続的な監視のための標準アプローチを提供する、米国政府全体にわたるプログラムです。
FedRAMP は、クラウド製品およびサービスが最小レベルのセキュリティ要件を満たすことによって、データ侵害のリスクを減らし、機密情報を保護することを目指しています。
この 10 年で、クラウドテクノロジが注目されるようになりましたが、それには当然の理由があります。サービスを迅速に拡張することがはるかに容易になったのです。
しかし、より迅速なサービス提供には、特に顧客データを保護する場合、リスクの増大が伴います。
FedRAMP は、クラウドベースのサービスと製品の信頼性、安全性、セキュリティを確保する一連のセキュリティ標準およびプロセスを提供します。
Federal Risk and Authorization Management Program (FedRAMP) は、2011 年にここから始まりました。FedRAMP は、連邦政府機関が導入する、連邦政府情報を保存、処理、または共有するクラウド製品およびサービスのセキュリティ評価、認証、継続的な監視を合理化します。
FedRAMP の目標は次のように要約できます。
これらの目標を達成するために、FedRAMP にはいくつかの重点領域があります。その領域は次のとおりです。
FedRAMP は 10 年以上前に始まりましたが、そのルーツはさらに遡ります。電子政府サービスを強化するために、連邦議会は E-Government Act of 2002 を可決しました。この法律により、行政予算管理局 (OMB) 内に連邦最高情報責任者のポジションが確立されました。
重要な特色の 1 つが Federal Information Security Management Act of 2002 (FISMA) でした。脅威を防御するためのサイバーセキュリティフレームワークの使用が提唱されました。それ以来、クラウドテクノロジは、連邦機関のデータの扱い方法を変えるテクノロジの 1 つとなっています。
クラウドテクノロジは、効率を高め、運用および調達コストを大幅に削減して、連邦政府の年間コストを数十億ドル節約します。ただし、サイバーリスクというさらなるリスクももたらします。
2011 年、米国政府は、連邦政府機関にサービスや製品を提供するクラウドサービスプロバイダを管理するための FedRAMP を正式に制定しました。これは、OMB の連邦 CIO である Steve VanRockel 氏が、クラウドセキュリティフレームワークの必要性を簡潔に述べたメモを米国連邦機関に送付した後のことでした。
このメモは、クラウドサービスのセキュリティリスクを管理するための効果的なツールとして FedRAMP の制定を提案するものでした。プログラムは、米国政府が運用の開始とクラウドサービスプロバイダの認定開始を認証した 2012 年に正式に開始されました。
その後、FedRAMP は進化を続け、現在、連邦機関が使用するクラウドサービスのセキュリティを確保するクラウドセキュリティ評価の連邦標準となっています。
FedRAMP は、連邦政府が使用するすべてのクラウドサービスまたは製品に適用されます。これには、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform が含まれます。また、政府に代わってサービスを提供する請負業者やベンダーにも適用されます。
FedRAMP プログラムは、要求されたセキュリティ制御を満たす、効率的にセキュリティで保護される環境を設計および実装することをクラウドサービスプロバイダに求めています。
今日、政府機関は、これまで以上に安全なクラウドサービスに依存しています。モバイルテクノロジの急増により、企業が競争力を維持するために、クラウドコンピューティング、Infrastructure as a Service (IaaS)、Software as a Service (SaaS) などの新しいテクノロジの導入を余儀なくされています。
FedRAMP が重要なのは、連邦政府が使用するクラウドサービスがセキュリティ標準を満たすことを保証するからです。連邦データを保護し、コストを削減し、効率を高めるのに役立ちます。FedRAMP は、政府機関がクラウドサービスのリスクを評価して管理するための効果的な方法を提供し、連邦政府機関が使用するクラウドサービスの特定、評価、および認証プロセスを簡素化します。(詳細については、規制コンプライアンスを参照してください)
クラウドサービスプロバイダが FedRAMP 認定を取得するには、厳格な承認プロセスを経る必要があります。このプロセスは、クラウドサービスまたは製品に関する Self-Assessment Questionnaire (SAQ) を完了することから始まります。SAQ が完了して承認されたら、Impact Assessment Brief (IAB) と Plan of Action & Milestones (POA&M) を提出する必要があります。
IAB にはシステムのアーキテクチャとセキュリティ制御の概要を記述し、POA&M には企業が満たすべきセキュリティ要件の概要を記述します。
IAB と POA&M が承認されると、クラウドサービスプロバイダは正式な FedRAMP 認定プロセスを開始できます。
FedRAMP 認証は 2 つの方法で実現できます。
JAB は、このプロセスで暫定的な認証を発行します。これにより、政府機関はリスクがレビュー済みだとわかります。JAB 認証は重要な最初の承認です。次に、クラウドサービスプロバイダは、それを完全な政府機関レビューに提出する必要があります。
このプロセスは、高い、または中程度のリスクを抱えるクラウドサービスプロバイダにとって最も役に立つものです。
政府機関には、FedRAMP 標準を使用するクラウドサービスおよび製品を認定する責任があります。全体的なリスクを評価し、システムを認証する前にすべてのセキュリティ要件に準拠しているかどうかを判断する必要があります。
米国政府は、FedRAMP コンプライアンスのさまざまなカテゴリ (低、中、高、未認証) を制定しています。各カテゴリに、関係する情報の機密性に基づいて満たすべきセキュリティ要件があります。
さらに、セキュリティ侵害が次の 3 つの主要領域に与える潜在的な影響にも基づいています。
低影響レベルのセキュリティは、クラウドシステムおよびデータの基準です。低リスクであり、公共の使用を意図したサービスおよび製品をサポートするように設計されています。このレベルのシステムおよび情報は、政府機関の使命、業務、財務、評判、または担当者にとって重要ではありません。そのため、機密性や可用性が失われても大きな影響はありません。
125 の制御がこのレベルのシステムを保護します。これらは、クラウドサービスプロバイダがクラウドに保存されている政府データを保護するために使用するテクノロジとプロセスです。
この影響レベルでは、問題のデータは、制御対象である非機密扱いの情報と呼ばれます。公開されておらず、個人を特定できる情報が含まれています。このデータタイプは、FedRAMP 中影響レベルの 325 の制御の対象となります。
これらの制御が実装されていない場合、政府機関の主目的に直接影響を及ぼすことがあります。定期的な活動が妨げられ、リソースが失われ、個人情報が漏えいする可能性があります。
FedRAMP が高レベルのセキュリティ基準を公開した 2016 年 6 月以前、政府機関は基本および中レベルの業務でのみクラウドサービスプロバイダと契約できました。しかし、高レベルのセキュリティ基準により、政府機関は、より機密性の高い業務でもクラウドサービスプロバイダと契約できるようになりました。
高リスクシステムは、高価値の資産として分類されるデータを保護するように設計された 421 の制御を満たす必要があります。通常、政府機関はこのデータを所有しており、これには国家安全保障情報、企業秘密、財務記録が含まれている可能性があります。
421 の制御は包括的であり、クラウドに保存されている機密性のある政府データに対して最高レベルの保護を提供します。
高影響レベルは、連邦政府の最も機密性の高い非機密扱いの情報に対して適用する必要があります。これは、侵害が機関への損害、財政破綻、人命の損失のような壊滅的な結果をもたらす可能性がある領域に適用されます。これには、法執行機関、緊急業務、金融サービス、医療システムが含まれます。
FedRAMP プログラムは、プログラムの開発、管理、運用に連携して取り組む行政機関によって監督されています。FedRAMP のガバナンス機関は次のとおりです。
Federal Risk and Authorization Management Program は、以下のような複数のクラウドベースのサービスを認定しています。
これらのクラウドベースのサービスは、FedRAMP のセキュリティ要件に準拠しており、必要な認証を受けています。その結果、連符機関は、これらのサービスを使用して、政府の機密データをセキュリティを損なうことなくクラウドに保存できます。
クラウドサービスプロバイダが認定を受けるには、FedRAMP フレームワークに概要が記載されているセキュリティ要件を満たす必要があります。これには、提案されたサービスに関連するリスクの概要を示す Risk Assessment Report (RAR)、リスクの軽減方法の概要を示す Security Assessment Plan (SAP)、制御への準拠を実証する Authorization Package が含まれます。
クラウドサービスプロバイダがこれらの要件をすべて満たせば、政府環境でサービスを運用するための認証を申請できます。承認されると、Joint Authorization Board から暫定的に 3 年間有効な運用認証 (P-ATO) が付与されます。
達成しようとする認証の種類に関係なく、FedRAMP 認証プロセスには 3 つの一般的な手順があります。
FedRAMP の認証の達成は決して容易ではありませんが、クラウドサービスプロバイダが一度プロセスを開始したら、それを成功させることがすべての関係者にとって重要です。
FedRAMP は、認証中に得た教訓を複数の小規模企業とスタートアップが互いに役立てられるよう、両者にインタビューしました。これらの企業から得た、認証プロセスを成功裏に進めるための 7 つのヒントを紹介します。
FedRAMP への準拠は必須ですが、義務ではなく投資と見なされます。認定を受けることには、次のような大きなメリットがあるからです。
FedRAMP は、政府機関にとってもクラウドサービスプロバイダにとっても重要なサイバーセキュリティ対策です。機密データの安全性に関する高レベルの保証を提供し、企業が市場シェアを増やします。
始めるにあたっては、今すぐベリタスまでお問い合わせください。FedRAMP コンプライアンスの複雑さに対応し、データの安全性を維持できるようお手伝いします。
Federal Risk and Authorization Management Program (FedRAMP) は、連邦政府機関へサービスを提供するクラウドサービスプロバイダに対して標準化されたセキュリティ要件を提供するために開発された、政府全体のサイバーセキュリティプログラムです。
FedRAMP は、すべての政府機関およびこれらの政府機関にサービスを提供するクラウドサービスプロバイダに適用されます。
クラウドサービスプロバイダが FedRAMP 認定を受けるには、堅ろうなセキュリティ要件を満たし、コンプライアンスを実証する必要があります。これには、脆弱性スキャン、構成監査、ポリシー作成などの手順が含まれます。
FedRAMP は、機密データの保護、政府規制への準拠の確保、市場シェアの拡大にとって重要です。