Federal Risk and Authorization Management Program (FedRAMP) レポート

問題点

Federal Risk and Authorization Management Program (FedRAMP) は、連邦政府機関が以下を利用することで実現する、クラウド・サービスを適用および使用する際のリスク・ベースのアプローチを提供します。

• 情報システムに関して選択された影響レベルに応じた、クラウド・サービスに対する許可および継続的なサイバーセキュリティーに関する標準化されたセキュリティー要件。
• クラウド・サービス・プロバイダー (CSP) により実装されるセキュリティー管理に対して、整合性があり独立したサード・パーティー評価を作成できる適合性評価プログラム。
• DHS、DOD、および GSA のセキュリティー専門家で構成される合同認定委員会 (JAB) が審査するクラウド・サービスの許可パッケージ。
• 連邦政府機関が FedRAMP 要件とベスト・プラクティスを取り入れる際に役立つ標準化された契約言語。そして
• 政府全体で利用可能なクラウド・サービスの許可パッケージのリポジトリー。

FedRAMP プロセスは、クラウド・システムに関する FISMA 要件を機関が満たすための支援を行うと同時に、FISMA に準拠する際に特有の課題が生まれるクラウド・システムの複雑性に対処するように設計されています。このプログラムは、クラウド・サービス・プロバイダーのプラットフォームと製品を利用するための連邦政府機関の処理を簡素化します。

2011 年 12 月 8 日、OMB は、1 つ以上の局または機関により利用される、影響レベルが低程度および中程度のすべてのクラウド・サービスは FedRAMP 要件に準拠する必要があるということを記した Memo を公開しました。FedRAMP は、2012 年 6 月 6 日に Initial Operating Capability (IOC) を開始しました。2012 年 6 月 6 日の時点でまだ実装されていない、取得段階のクラウド・システムは、2014 年 6 月 5 日までに FedRAMP 準拠となる必要がありました。

FedRAMP は、国土安全保障省 (DHS)、一般調達局 (GSA)、国防総省 (DoD) の最高情報責任者から成る合同認定委員会 (JAB) が管理します。米国政府の Chief Information Officer Council (CIOC) （その Information Security and Identity Management Committee (ISIMC) を含む） は FedRAMP を承認しています。FedRAMP は ISIMC と共同しています。ISIMC は高優先度のセキュリティーと ID 管理に対する取り組みを特定し、それらの取り組みに対応するためのポリシー、手順、および標準に関する推奨を作成するためです。

AppScan の FedRAMP コンプライアンス・レポートでは、ご使用のクラウド・サービス WEB 環境で、FedRAMP ベースライン・コントロール資料への準拠に関連する潜在的な問題が自動的に検出されます。FedRAMP セキュリティー管理ベースラインは、クラウド・サービスに関連があり、クラウド・サービス特有の適用可能なパラメーターおよび修正によって、NIST の最低限のセキュリティー管理ガイドラインを更新します。