FedRAMP認証:その内容、重要性、認証取得者

Kimberly Parker

29-05-2023 戦略
  • これを共有
Kimberly Parker

有名人のカメラロールのハッキング、国家によるサイバー攻撃、そしてその間にあるあらゆるもの。 データセキュリティの応用範囲は非常に広く、クラウドベースのサービスを利用したり提供したりするすべての人にとって大きな関心事となっています。

そのため、米国政府は、連邦政府機関が利用するすべてのクラウドサービスに対して、FedRAMPと呼ばれる綿密なセキュリティ基準を満たすことを要求しています。

FedRAMPとは何か、その内容は?

ボーナス ソーシャルメディアのプレゼンスを高めるためのプロのヒントが詰まった、ステップバイステップのソーシャルメディア戦略ガイドをお読みください。

FedRAMPとは?

FedRAMPとは、「Federal Risk and Authorization Management Program」の略で、米国連邦政府機関が利用するクラウド製品・サービスのセキュリティ評価・認可を標準化したものです。

その目的は、連邦政府のデータがクラウド上で一貫して高いレベルで保護されていることを確認することです。

FedRAMPの認証取得は、法律で定められたセキュリティレベルであり、14の適用法令と19の標準およびガイダンス文書があり、世界で最も厳格なSaaS認証の1つとなっています。

ここで簡単に紹介します。

FedRAMPが誕生したのは2012年のことで、この時期からクラウド技術が従来の固定されたソフトウェアソリューションに取って代わり始めました。 この戦略は、米国政府がクラウドベースのソリューションを第一の選択肢として検討することを求めた「クラウド・ファースト」戦略から生まれました。

FedRAMP以前は、クラウドサービスプロバイダーは、取引したい機関ごとに認可パッケージを用意しなければならず、要件に一貫性がなく、プロバイダーと機関の双方で重複した労力が必要でした。

FedRAMPは一貫性を導入し、プロセスを合理化した。

これにより、評価や要件が標準化され、複数の政府機関がプロバイダのFedRAMP認証セキュリティパッケージを再利用できるようになりました。

当初のFedRAMPの普及は遅かった。 最初の4年間で認可されたクラウドサービスオファーはわずか20件だった。 しかし、2018年から本当にペースが上がり、現在204件のFedRAMP認可クラウド製品が存在する。

出典 フェドラップ

FedRAMPは、Joint Authorization Board(JAB)によって管理されている。 JABは、以下の代表者から構成されている。

  • 国土安全保障省
  • 総務省、および
  • 防衛省

このプログラムは、米国政府連邦政府最高情報責任者会議から承認されています。

なぜFedRAMP認証が重要なのか?

連邦政府のデータを保有するすべてのクラウドサービスには、FedRAMPの認可が必要です。 したがって、連邦政府と仕事をする場合、FedRAMPの認可はセキュリティ計画の重要な一部となります。

FedRAMPは、政府のクラウド・サービスのセキュリティに一貫性を持たせ、そのセキュリティの評価と監視に一貫性を持たせるという点で重要です。 これは、すべての政府機関とすべてのクラウド・プロバイダーに対して1セットの標準を提供するものです。

FedRAMP認証を受けたクラウドサービスプロバイダーは、FedRAMP Marketplaceに掲載されます。 このマーケットプレイスは、政府機関が新しいクラウドベースのソリューションを調達する際に最初に探す場所です。 政府機関は、新しいベンダーに認証プロセスを開始するより、すでに認証されている製品を使用する方がはるかに簡単で迅速なのです。

FedRAMPマーケットプレイスに掲載されると、政府機関から追加的なビジネスを受注できる可能性が高くなります。 しかし、民間セクターでのプロフィールも向上させることができます。

FedRAMPのマーケットプレイスは一般に公開されているため、民間企業であれば誰でもFedRAMP認定ソリューションのリストをスクロールして確認することができるからです。

安全なクラウド製品やサービスの調達を検討する際に、非常に有効な情報源となります。

FedRAMPの認証は、セキュリティ・プロトコルに対する顧客の信頼を高めることができます。 これは、最高のセキュリティ基準を満たすための継続的なコミットメントを意味します。

FedRAMP認証は、FedRAMP Marketplaceの外でもセキュリティの信頼性を大幅に高めます。 FedRAMP認証を受けたことをソーシャルメディアやWebサイトで共有することができます。

しかし、FedRAMPを理解している大企業(公共・民間を問わず)にとっては、認証の有無は契約違反になる可能性があります。

FedRAMP認証を取得するためには何が必要ですか?

FedRAMPの認定を受けるには、2種類の方法があります。

1.ジョイント・オーソライゼーション・ボード(JAB)仮運営権限

その際、JABは「仮承認」を発行することで、各機関にリスクが検討されたことを知らせる。

しかし、このサービスを利用しようとする機関は、独自にAuthority to Operateを発行しなければならない。

このプロセスは、リスクが高いか中程度のクラウドサービスプロバイダーに最適である(リスクレベルについては、次のセクションで詳しく説明する)。

ここでは、JABのプロセスをビジュアルでご紹介します。

出典 フェドラップ

2.代理店の運営権限

このプロセスでは、クラウドサービス事業者が特定の連邦政府機関と関係を構築し、その機関がプロセス全体に関与する。 プロセスが成功すれば、連邦政府機関からAuthority to Operate letterが発行される。

出典 フェドラップ

FedRAMP認証取得までの流れ

どのタイプの認可を追求するにしても、FedRAMPの認可には4つの主要なステップがあります。

  1. パッケージの開発。 まず、認可キックオフミーティングが行われ、プロバイダーはシステムセキュリティ計画を作成します。 次に、FedRAMP認可の第三者評価機関がセキュリティ評価計画を作成します。
  2. 評価する。 評価機関は、セキュリティ評価報告書を提出する。 提供者は、行動計画書(Plan of Action & Milestones)を作成する。
  3. 認可を受ける。 JABまたは認可機関は、説明されたリスクが許容できるかどうかを判断し、許容できる場合は、FedRAMPプロジェクト管理事務所にAuthority to Operateレターを提出します。 その後、プロバイダーはFedRAMP Marketplaceに掲載されます。
  4. モニタリング プロバイダーは、サービスを利用する各機関に毎月セキュリティ監視の成果物を送付しています。

FedRAMP認可のベストプラクティス

FedRAMP認証取得のプロセスは大変ですが、クラウドサービスプロバイダーが認証プロセスを開始した時点で成功することが、関係者全員の利益となります。

そこでFedRAMPは、中小企業や新興企業数社に認可の際に学んだ教訓についてインタビューを行いました。 ここでは、認可プロセスをうまく進めるための7つの最善のヒントを紹介します。

  1. 自社の製品がFedRAMPにどのように対応しているかを把握する - ギャップ分析も含む。
  2. 経営陣や技術陣を含む、組織の賛同とコミットメントを得ること。
  3. 代理店のパートナーを見つける - あなたの製品を使用している、または使用することを確約している代理店。
  4. 自分の境界線を正確に定義することに時間を費やすこと。
    • 内部部品
    • 外部サービスとの接続、および
    • 情報およびメタデータの流れ
  5. FedRAMPは、開始日と終了日のある単なるプロジェクトではなく、継続的なプログラムとして考えてください。 サービスは継続的に監視されなければなりません。
  6. 複数の製品に複数のオーソライズが必要な場合がありますので、オーソライズの方法を慎重に検討してください。
  7. FedRAMP PMOは貴重なリソースであり、技術的な質問に答え、戦略立案を支援します。

    FedRAMPは、クラウドサービスプロバイダーがFedRAMPへの準拠を準備するためのテンプレートを提供しています。

    FedRAMPのコンプライアンスカテゴリーとは何ですか?

    FedRAMPは、異なる種類のリスクを持つサービスに対して、3つの異なる領域におけるセキュリティ侵害の潜在的な影響に基づいて、4つの影響レベルを提供しています。

    • 守秘義務 プライバシーおよび専有情報の保護
    • 誠実さ。 情報の改ざんや破壊に対する保護。
    • アベイラビリティ タイムリーで信頼性の高いデータへのアクセス。

    最初の3つの影響レベルは、米国国立標準技術研究所(NIST)の連邦情報処理規格(FIPS)199に基づいています。 4つ目は、NIST Special Publication 800-37に基づいています。 影響レベルは次のとおりです。

    • 高、421件のコントロールに基づく。 「機密性、完全性、可用性の喪失が、組織運営、組織資産、個人に深刻な、あるいは破滅的な悪影響を及ぼすと予想される場合」 これは通常、法執行、緊急サービス、金融、医療システムなどに適用される。
    • 325のコントロールに基づき、中程度。 「機密性、完全性、可用性が損なわれると、組織の運営、組織の資産、または個人に深刻な悪影響が及ぶと予想される場合。
    • 125のコントロールに基づくと低い。 "機密性、完全性、可用性の喪失は、組織の運営、組織の資産、または個人に限定的な悪影響を及ぼすと予想される。"
    • 36のコントロールに基づくLI-SaaS(Low-Impact Software-as-a-Service)。 コラボレーションツール、プロジェクト管理アプリケーション、オープンソースコードの開発を支援するツールなどの用途でリスクが低いシステム」向け。このカテゴリーはFedRAMP Tailoredとも呼ばれる。

    この最後のカテゴリは、「低リスクのユースケース」を機関が承認しやすくするために2017年に追加されました。 FedRAMP Tailoredの資格を得るには、プロバイダーは6つの質問にイエスと答える必要があります。 これらはFedRAMP Tailoredポリシーページで公開されています。

    • クラウド環境で動作するサービスですか?
    • クラウドサービスは完全に稼働していますか?
    • クラウドサービスは、NIST SP 800-145「The NIST Definition of Cloud Computing」で定義されているSaaS(Software as a Service)か?
    • クラウドサービスには、ログイン機能(ユーザー名、パスワード、メールアドレス)を提供するために必要な場合を除き、個人を特定できる情報(PII)は含まれないのですか?
    • FIPS PUB 199「連邦情報および情報システムのセキュリティ分類のための基準」で定義されているように、クラウドサービスは低セキュリティの影響を受けるか?
    • クラウド・サービスはFedRAMP認可のPlatform as a Service(PaaS)またはInfrastructure as a Service(IaaS)内でホストされていますか、それともCSPが基盤となるクラウド・インフラストラクチャを提供していますか。

    FedRAMP準拠の達成は一度きりの作業ではないことに留意してください。 FedRAMP認可のモニタリング段階を覚えていますか? つまり、以下を確実にするために定期的なセキュリティ監査を受ける必要があります。 御出でなさい FedRAMPに準拠。

    ボーナス ソーシャルメディアにおける存在感を高めるためのプロのヒントが満載の、ステップバイステップのソーシャルメディア戦略ガイドをお読みください。

    今すぐ無料ガイドを手に入れよう

    FedRAMP認証取得製品の例

    FedRAMPの認定を受けた製品やサービスにはさまざまな種類がありますが、ここでは皆さんがご存知の、あるいは既にご自身で利用されているクラウドサービスプロバイダーの例をいくつかご紹介します。

    アマゾン ウェブ サービス

    FedRAMP Marketplaceには2つのAWSのリストがある。 AWS GovCloudはHighレベル、AWS US East/WestはModerateレベルの認可である。

    AWS GovCloud(米国)のお客様は、最近FedRAMPの高認証を取得したおかげで、ミッションクリティカルなファイルワークロードに #AmazonEFS を使用することができます #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) 2019年10月18日

    AWS GovCloudは292件、AWS US East/Westは250件と、FedRAMP Marketplaceに掲載されているどの企業よりも多い認証を得ている。

    Adobe Analytics

    Adobe Analyticsは2019年に認可されました。 疾病管理予防センターと保健社会福祉省が使用しています。 LI-SaaSレベルで認可されています。

    アドビは、LI-SaaSレベルで認定された製品をいくつか持っています(Adobe CampaignやAdobe Document Cloudなど)。 また、モデレートレベルで認定された製品もいくつか持っています。

    • Adobe Connect マネージドサービス
    • Adobe Experience Manager マネージドサービス。

    アドビは現在、Adobe SignのFedRAMP Tailored認可からFedRAMP Moderate認可への移行を進めているところです。

    アドビサイン社がFedRAMP TailoredからFedRAMP Moderateへの移行にどのように取り組んでいるかについては、こちらをご覧ください: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 2020年8月12日

    アドビのように、複数のクラウドベースのソリューションを提供する場合、複数の認可を取得する必要があるかもしれません。

    スラック

    今年5月に認可されたSlackは、21のFedRAMP認可を受けています。 この製品はModerateレベルで認可されており、次のような機関で使用されています。

    • 米国疾病管理予防センター(Centers for Disease Control and Protection)。
    • 連邦通信委員会、および
    • 全米科学財団の

    FedRAMP Moderate認証により、米国の公共機関はSlackでより多くの業務を実行できるようになりました。 また、厳しいセキュリティ要件を満たすことで、Slackを使用する他のすべての企業にとっても安全な状態を維持しています。//t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 2020年8月13日

    SlackはもともとFedRAMP Tailoredの認可を受けていましたが、退役軍人省との提携によりModerateの認可を取得しました。

    Slackは、この認可が民間企業の顧客にもたらすセキュリティ上の利点について、自社のウェブサイトで注意を喚起しています。

    「今回の認定は、FedRAMP認定環境を必要としない民間企業を含むスラックのお客様にとって、より安全な体験につながります。 スラックの商用サービスをご利用のすべてのお客様は、FedRAMP認定取得に必要な高度なセキュリティ対策の恩恵を受けることができます。"

    Trelloエンタープライズクラウド

    Trelloは9月にLi-SaaSの認可を受けたばかりです。 Trelloは今のところGeneral Services Administrationでのみ使用されています。 しかし同社は、新しいFedRAMPステータスに関するソーシャル投稿に見られるように、それを変えたいと考えています。

    TrelloのFedRAMP認証により、あなたの機関はTrelloを使用して生産性を向上させ、チームのサイロを破壊し、コラボレーションを促進することができるようになりました。

    - Trello (@trello) 2020年10月12日

    ゼンデスク

    また、5月に認可されたZendeskは、以下のような方に利用されています。

    • エネルギー省
    • 連邦住宅金融公社
    • FHFA監察総監室、および
    • を設立しました。

    Zendeskカスタマーサポートおよびヘルプデスクプラットフォームは、Li-Saasの認可を受けています。

    今日からZendeskはFedRAMPの認可を受けたので、政府機関が当社と仕事をするのがより簡単になりました。 このために尽力してくれたZendesk内外のすべてのチームに感謝します。 //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 2020年5月22日

    ソーシャルメディアマネジメントのためのFedRAMP

    SMMExpertはFedRAMP認定を受けており、政府機関はソーシャルメディア管理のグローバルリーダーと協力して、市民とのエンゲージメント、危機管理コミュニケーション、ソーシャルメディアによるサービスや情報の提供を容易に行うことができるようになりました。

    デモを依頼する

    前の投稿 2023年、あなたのブランドのための完璧なソーシャルメディアスタイルガイド
    次の投稿 インスタグラムで完璧なテイクオーバーをするための8つのヒント

    Kimberly Parker は、業界で 10 年以上の経験を持つ、熟練したデジタル マーケティングの専門家です。彼女は自身のソーシャル メディア マーケティング代理店の創設者として、効果的なソーシャル メディア戦略を通じて、さまざまな業界の多数の企業がオンライン プレゼンスを確立し、拡大できるよう支援してきました。キンバリーは多作なライターでもあり、ソーシャル メディアとデジタル マーケティングに関する記事をいくつかの信頼できる出版物に寄稿しています。自由時間には、キッチンで新しいレシピを試したり、犬と長い散歩をしたりするのが大好きです。