ソリューション ガイドFedRAMP の実装
米国連邦政府リスク認証管理プログラム (FedRAMP) は、米国連邦政府機関が使用するクラウド製品とサービスのセキュリティーを評価、認可、継続的監視するための標準化されたプロセスを提供する、米国政府の取り組みです。その目標は、米国連邦政府機関が使用するクラウド ソリューションが一貫性のある厳格なセキュリティー基準を満たすことを保証し、クラウドに保存される政府の機密データを保護することにあります。
FedRAMP の SSP、POAM、OSCAL 要件の実装における課題
FedRAMP 認可を通じて米国連邦政府機関へのサービス提供を目指すクラウド サービス プロバイダー (CSP) は、複数の重大な課題に直面します。これらの課題は、プログラムの厳格なセキュリティー基準、複雑な認可プロセス、継続的なコンプライアンス遵守要件に起因します。
大きいドキュメント作成負荷
システム セキュリティー計画 (SSP) およびアクション計画マイルストーン (POAM) のレポートは広範囲かつ詳細であり、複数のセクションと統制にまたがる数百項目のデータ ポイントを必要とします。
これらの文書の手作業での更新は時間がかかり、特に月次処理 (POAM) や認可サイクル中 (SSP) にエラーが発生しやすい状態になります。
ツールやチーム間でのデータ断片化
脆弱性データは、セキュリティー スキャン、セキュリティー評価レポート (SARS)、手動の指摘事項、アンケートから取得されます。
各ソースは異なる形式、用語、構造を使用しているため、レポート作成に向けてデータを統合および正規化することが困難です。
セキュリティー スキャンの標準化欠如
CSP では少なくとも 3 種類のセキュリティー スキャンを実行する必要があり、Tenable、Rapid7、Qualys などの異なるベンダーのツールを使用することが多々あります。
これらのスキャンは、一貫性のない列名や構造を持つ CSV ファイルを生成するため、プロバイダーごとに個別のマッピング作業が必要になります。
手動データ入力と重複リスク
自動化されていない場合、チームは FedRAMP テンプレートに対してデータのコピーと貼り付けを手作業で実施する必要があり、人的ミス、脆弱性の重複、不完全な記録などのリスクが増大します。
複雑な統制実装状況の追跡
各 FedRAMP 統制は、詳細な実装証拠、ウォークスルー、メタデータを必要とします。
何百もの統制を追跡し、完全性を確保することは、運用上の大きな課題です。
継続的コンプライアンスと月次レポート
POAM レポートは毎月提出する必要があり、脆弱性と修正ステータスの正確な追跡が求められます。
CSP は、脆弱性のライブ インベントリを維持し、タイムリーな更新とエクスポートを行う必要があります。
OSCAL 形式の要件
FedRAMP では、オープン セキュリティー コントロール評価言語 (OSCAL) のような機械可読形式がますます求められており、エクスポート処理に複雑性が加わっています。
CSPは、OSCAL スキーマ要件を満たすようにデータを正しく構造化する必要があります。
セキュリティー チームとコンプライアンス チーム間の調整
FedRAMP ドキュメントを完成させるには、スキャン データ担当のセキュリティー チーム、改善計画担当のコンプライアンス チーム、統制ウォークスルー担当のプロジェクト所有者など、複数の関係者からのインプットが必要です。
チーム間でのコラボレーションと説明責任の確保は不可欠ですが、困難です。
FedRAMP 実装に関与する関係者
FedRAMP の実装に関与する関係者は次のとおりです。
CSP および FedRAMP アドバイザリー企業
第三者評価機関 (3PAO)
セキュリティーおよびコンプライアンスの専門家
連邦政府機関およびスポンサー機関
合同認可委員会 (JAB)
サードパーティー評価機関 (3PAO)
