ブログ記事

FedRAMP入門:米国のクラウド セキュリティ基準を理解する

Compliance
分で読めます

FedRAMPとは、米国連邦政府が実施するサイバー セキュリティのフレームワークとなっており、クラウド サービスやソリューションがセキュリティ基準を満たしていることを保証するために行う評価や認可、継続的な監視に関する標準化されたアプローチを提供しています。

Federal Risk and Authorization Management Programの頭文字を取ってFedRAMPと呼ばれています。

FedRAMPは、連邦政府が利用するクラウド サービスやソリューションのセキュリティを確保する目的で設立されました。クラウド サービスまたはクラウド ソリューションのプロバイダーは、連邦政府の情報を取り扱う場合、FedRAMPの認可を取得し、FedRAMP要件を遵守することが義務付けられています。

その他FedRAMPの目標には以下のようなものがあります。

このFedRAMPガイドラインは定期的に更新されており、クラウド サービスやソリューションのプロバイダーが変更を迅速に受け入れ、最新の要件に対応できるようにしています。 また、FedRAMPは、すでに認証済みクラウド サービスへのアクセスを増やす目的で、マーケットプレイス*も設立しました。FedRAMPマーケットプレイスでは、連邦政府機関同士の協力をサポートするハブも提供しています。また、クラウド セキュリティに関する教訓、ユース ケース、戦術的ソリューションのオープンなやり取りもサポートしています。
*https://marketplace.fedRAMP.gov/products

FedRAMPプログラムの基本知識

FedRAMPで使われる主な略語一覧

FedRAMPを理解するには、以下にあるFedRAMPで使われる主な略語の意味と、認可プロセスにおけるその役割を理解することも必要です。

  • PMO(FedRAMP Program Management Office、FedRAMPプログラム管理オフィス)FedRAMPプログラム管理オフィス(PMO)は、FedRAMPのアプリケーション、認可、継続的な監視を行います。これは一般調達局(General Services Administration、GSA)が管理しています。

  • 3PAO(FedRAMP Third Party Assessment Organization、第三者評価機関FedRAMPの第三者評価機関(3PAO)とは、クラウド プロバイダーのサービスやソリューションのセキュリティ リスクを評価する独立した第三者機関のことをいいます。3PAOは、合同認可委員会(JAB:Joint Authorization Board)の仮運用認可(P-ATO:Provisional Authorization to Operate)を行うFedRAMP 3PAOプログラムを通じて認可を受けます。間違いのない認可を行うにあたり、3PAOはその独立性と、クラウド プロバイダーのセキュリティ実装をテストおよび文書化できる技術的能力を証明することが義務付けられています。3PAOが認可を受けると、FedRAMPマーケットプレイスに登録されます。

  • JAB (FedRAMP Joint Authorization Board、合同認証委員会)FedRAMPは、合同認証委員会(JAB)によって管理されています。これには、以下の機関の最高情報責任者(CIO)および他の代表者が含まれます。

  • P-ATO(FedRAMP Provisional Authority to Operate、FedRAMP仮運用認可)FedRAMPの仮運用認可(P-ATO)の場合、JABがクラウド プロバイダーのセキュリティ認可パッケージのリスク レビューを実施します。FedRAMP-ATOは、JABによる評価と承認を経て取得できます。これはさらに厳格なプロセスで、クラウド プロバイダーが複数の個別機関のATOを取得した後でないと利用できません。その後、認定3PAOが、クラウド プロバイダーのセキュリティ評価パッケージのテストと検証を行い、妥当性を確認します。これに合格すると、JAPはクラウド プロバイダーのリスク体制が許容できる影響レベルの詳細を含むP-ATOを付与できます。

  • SSP(FedRAMP System Security Plan、FedRAMPシステム セキュリティ計画)FedRAMPシステム セキュリティ計画(SSP)は、クラウド プロバイダーが作成する報告書で、既存インフラおよびセキュリティ制御の説明と、希望するATOを満たす上で対処が必要なギャップの評価を行います。

  • CIS(FedRAMP Control Implementation Summary、FedRAMP管理実施概要)FedRAMP管理実施概要(CIS)とは、クラウド プロバイダーが作成する文書で、機関に対して負うセキュリティ責任を説明します。

  • SAP(Security Assessment Plan、セキュリティ評価計画)セキュリティ評価計画(SAP)はクラウド プロバイダーと3PAOが作成します。SAPはSSPに基づいて作成し、3PAOによる監査の一部として使用されるすべての手順、方法論、テストを詳述します。

  • SAR(Security Assessment Report、セキュリティ評価報告書)3PAOが監査結果を提示する際は、セキュリティ評価報告書(SAR)を使います。SARにはテストが実施された内容と実施されなかった内容、どの制御がコンプライアンス要件を満たしたか、または満たさなかったかについて詳しく記載されます。また、SAR報告書には、推奨される修正措置も記載されます。

  • POA&M(FedRAMP Plan of Action and Milestones、FedRAMPの行動計画とマイルストーン)FedRAMPの行動計画とマイルストーン(POA&M)では、クラウド サービスとソリューションに求められる具体的なセキュリティ制御、そのセキュリティ制御を実施するためのスケジュール、進捗状況を評価する際に使用するマイルストーンを説明します。これは、クラウド プロバイダーが必須で行うセキュリティ制御の実施状況を追跡し、報告するものです。また、POAMは権限審査(ID棚卸)プロセス中に発生する問題の追跡と、この問題の解決策の文書化にも使用されます。FedRAMPの権限審査(ID棚卸)を目指すクラウド プロバイダーにとって、POAMの管理は極めて重要になります。

FedRAMPガバナンス機関

FedRAMPは、このプログラムの開発、管理、運用を共同で行っている複数の行政機関が管理しています。FedRAMPを管理している機関には、以下のものがあります。

3種類のFedRAMP認可

FedRAMPには、3種類の認可が存在します。

  1. 運用許可(Authority to Operate、ATO)

  2. 仮運用認可(Provisional Authority to Operate、P-ATO)

  3. 状況に応じた認可

3つのFedRAMPセキュリティ基準レベル

FedRAMPには高、中、低の三段階のセキュリティ基準のレベルが存在します。

FedRAMP認可プロセス

FedRAMPへの準拠を証明して、FedRAMPの認可を取得するには2つの方法があります。1つ目の方法は、連邦政府からFedRAMPの運用認可を直接取得する方法です。2つ目の方法は、合同認可委員会(JAB)からFedRAMP仮運用認可(P-ATO)を取得する方法です。どちらの方法を選択しても、この認可プロセスには主に4つのステップが必ず含まれます。

1. 文書化

FedRAMPの認可プロセスは、クラウド プロバイダーがセキュリティ制御の実施内容を文書化し、提供しているクラウド サービスとソリューションをFIPS 199に従って分類することから始まります。この分類(低、中、高、FedRAMP Tailored認証)を行うと、必要な制御が決まります。

次に、クラウド プロバイダーはシステム セキュリティ計画を作成し、FedRAMP認定の第三者評価機関(3PAO)が求めるセキュリティ評価計画を策定する必要があります。その後、システム セキュリティ計画(SSP)を作成します。この文書は要求される制御の実施方法を示すロードマップになります。

その他FedRAMP認可プロセスに必要な文書には、緊急時対応計画、インシデント対応計画、構成管理などがあります。

2. 評価

SSPとその他の必要文書が完成して審査を受け、承認が得られると、評価段階が始まります。FedRAMP認可プロセスのこの段階で、3PAOがセキュリティ評価計画(SAP)を策定します。SAPでは、クラウド サービスやソリューションで用いるテストのアプローチを説明します。

SAPが承認された後、3PAOは本番リリース可能なシステム上で制御方法の実施をテストし、セキュリティ評価報告書(SAR)を作成します。このセキュリティ評価は、本番リリース可能なシステムで実施する必要がある点に留意することが重要です。テスト用のシステムや開発用のシステムで評価を実施することはできません。

次に、クラウド プロバイダーは「行動計画とマイルストーン(POA&M)」を作成し、ギャップとセキュリティ上の弱点に対処するための修正措置を詳しく説明します。

3. 認可

この段階で、連邦政府が認可に向けてSARの審査を行います。要件が満たされるとクラウド プロバイダーは承認され、連邦政府機関がATOの公式文書を発行します。

なお、連邦政府がSARを承認する前に追加のテストを要求する場合があります。ATOの場合、FedRAMPプログラム管理オフィス(PMO)がSARと関連文書の審査内容に基づいてFedRAMPの認可を決定します。P-ATOの場合、JABがパッケージの審査を行います。PMOまたはJABによって承認されると、クラウド プロバイダーは連邦政府との取引が認可されます。

4. 監視

クラウド プロバイダーが最初の連邦政府からATOまたはJAB P-ATOを取得すると、継続的な監視の段階が始まります。この段階で、クラウド プロバイダーは要求事項が継続的かつ適切に運用されていることを確認します。監視は制御方法に応じて、継続的に、毎月、毎年のいずれかの方法で実施します。制御方法の監視に基づいた報告書は認可機関に送付し、FedRAMPへの継続的な準拠を証明します。

FedRAMPが重要な理由

FedRAMPは連邦政府との取引を希望するクラウド プロバイダーに対する要件であるだけでなく、クラウド サービスやソリューションのセキュリティを評価・監視する際の一貫性を確保する上でも重要です。FedRAMPから得られる成果では、以下のような点が挙げられます。

  • コスト削減FedRAMPは、各クラウド サービス プロバイダーが複数レベルのセキュリティ審査を実施する必要性を排除します。

  • 効率性FedRAMPは、クラウドベースのサービスの設定と保守に必要な時間と労力を削減します。

  • リスク管理FedRAMPへの準拠においては、認可組織がリスクを積極的に特定、評価、管理することが義務付けられています。

  • セキュリティFedRAMPへの準拠においては、組織が影響レベルに基づいて定めたセキュリティ制御を実施することが義務付けられています。

FedRAMPに準拠するための要件

FedRAMPへの準拠では、クラウド サービスとソリューションが、その用途や処理・保存を行う情報の種類に基づいた固有のセキュリティ水準を満たすことが義務付けられています。FedRAMPへの準拠を達成する際に必要となる最低要件を以下で紹介します。

FedRAMP準拠の種類

FedRAMPプログラムでは、準拠を3つに分けて詳しく定めています。

  1. セキュリティ準拠認証と認可アクセス制御、暗号化、インシデント対応が対象

  2. 運用準拠システムの可用性とパフォーマンス、ソフトウェアのパッチ適用、監視、バックアップが対象

  3. 文書準拠システムおよびサービスに関する文書、データ フロー図、認可パッケージが対象

FedRAMPへの準拠は、一般的にCIAの3要素と呼ばれている、「機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)」といった3つの異なる領域で生じる可能性のあるさまざまな種類のリスクに基づいています。この標準モデルは、セキュリティ システムを開発する際の基盤となります。

  • 機密性個人情報と専有情報に対する保護

  • 完全性情報の改ざんや破壊に対する保護

  • 可用性データへのタイムリーで信頼できるアクセス

FedRAMPの影響レベルは4つあります。

  1. 影響レベル:高FedRAMPの「高」には約425のサイバー セキュリティ制御策があります。FedRAMPで「高」に該当する組織は、主に法執行機関、救急サービス、金融サービス、医療制度の組織になります。こうした組織の場合、機密性、完全性、可用性が失われると、組織の運営、組織の資産、あるいは個人に深刻または壊滅的な悪影響を与える可能性があると予想されています。

  2. 影響レベル:中FedRAMPの「中」は約325の制御策に基づいています。FedRAMPの認可を受けた組織の約80%がこの影響レベル「中」になります。これらの組織の場合、機密性、完全性、可用性が失われると、組織の運営、資産、個人に深刻な影響を与える可能性があります。承認を得たFedRAMPアプリケーションの80%近くが、ここで説明する中間的な影響レベルになります。

  3. 影響レベル:低FedRAMPの「低」には約125の制御策があります。FedRAMPで「低」に該当する組織で機密性、完全性、可用性が失われると、組織の運営、資産、個人に限定的な悪影響を与える可能性があると予想されています。

  4. SaaS影響レベル:低(FedRAMP TailoredまたはLl-SaaS)FedRAMP Tailoredは影響度「低」の一部で、約36の制御策があります。この影響レベルは、ログイン時の基本情報(ユーザー名やパスワードなど)以外で個人を特定できる情報を保存しないSaaSアプリケーションに対するものです。FedRAMP Tailoredレベルの組織には、コラボレーション ツール、プロジェクト管理アプリケーション、オープンソース コードの開発を支援するツールなど、リスクの低いシステムがあります。

FedRAMPとRMF(リスク管理 フレームワーク)の違い

FedRAMPは、クラウド プロバイダーのサービスとソリューションを公的機関が使用することを認可するプログラムです。リスク管理 フレームワーク(RMF)は、NIST SP 800-37の一部で、連邦政府がITシステムの運用認可を得るには、このフレームワークに従う必要があります。

FedRAMPのセキュリティ評価フレームワーク(SAF)は、クラウド製品とサービスのセキュリティ評価、認可、監視の標準化を支援するもので、NIST SP 800-37 RMFをベースにしており、NIST 800-37にはないクラウド セキュリティに関連した制御を強化する内容が含まれています。

FedRAMPプロセス領域とNIST SP 800-37 RMFプロセス領域の比較

FedRAMPおよびその他連邦政府機関のコンプライアンス プログラム

FedRAMPは、連邦政府にある他のいくつかのコンプライアンス プログラムから要件を引用しています。以下は、FedRAMPが連邦政府機関にある他のコンプライアンス プログラムから取り入れた内容の一例です。

  • 米国連邦情報処理規格(FIPS)140-2FedRAMPでは、暗号モジュールを実装してデータを暗号化する際の連邦政府機関と請負業者に対する要件をFIPS 140-2から引用しています。

  • 米国連邦情報処理規格(FIPS)199FedRAMPでは、セキュリティ、プライバシー、リスク管理のセキュリティ影響レベルと関連する要件をFIPS 199から引用して使用しています。

  • NIST特別刊行物(SP)800-37NIST SP 800-37のリスク管理 フレームワーク(RMF)からは、FedRAMPがリスク評価と管理制御を実施する方法を組織に指示する際に使用する規則を取り入れています。

  • NIST特別刊行物(SP)800-53NIST SP 800-53からは、FedRAMPが組織に対してシステムを適切に保護する際に実施することを要求しているセキュリティ制御策を取り入れています。

FedRAMP認可:連邦政府以外のセキュリティを保証

多くの組織にとって、FedRAMPは顧客の信頼と信用を獲得するという点で2つの役割を担います。FedRAMPの認可を取得するということは、クラウド プロバイダーのサービスやソリューションのセキュリティを強力に証明することになります。FedRAMPは、連邦政府にクラウド サービスやソリューションを提供するための最低必要条件を満たすだけでなく、プロバイダーがセキュリティに関して真剣に取り組んでおり、厳格な審査とテストでその有効性が検証されていることを政府以外の組織にも証明するものになります。

クラウド サービスまたはソリューションのプロバイダーがFedRAMPの認可を受けると、以下のような多くのメリットを得ることができます。

FedRAMPのプロセスには時間と労力がかかりますが、FedRAMPの認可とは、それを取得したクラウド サービスやソリューションのプロバイダーにとって価値ある取り組みだということが証明されています。

関連コンテンツ

FedRAMPについてもっと詳しく知る

NIST CSF(サイバーセキュリティフレームワーク)とは

NIST CSF(サイバーセキュリティフレームワーク)とは

NIST CSFとは、企業がセキュリティ製品を導入検討する際の判断基準です。なぜNIST CSFを導入すべきかを解説します。

記事を読む

クラウド セキュリティ入門:脅威、対策、ベストプラクティス

クラウド セキュリティに対応する処理とポリシーを策定することで、システムの保護とコンプライアンスの確保を把握できるという安心感を得られる理由をご確認ください。

記事を読む

Trust Center -データを保護するためのSailPointの取り組み

SailPointは、誠実であることをモットーにしています。お客様からの信頼を維持し、データを保護するためのSailPointの取り組みをご覧ください。

詳しく