FedRAMP POAM ワークフローの実装

このセクションでは、FedRAMP POAM ワークフローについて説明します。これには、2 つの異なるロボットを使用した自動化が含まれます。

  • セキュリティー スキャン自動化ロボットTenable、Rapid7、Qualys などの外部スキャン ツールから脆弱性を取り込みます。

  • SAR 脆弱性自動化ロボット年次のセキュリティー評価レポート (SAR) で特定された脆弱性をインポートします。

各ロボットは独自の構成プロセスを持ち、完全な POAM インベントリの構築に貢献します。以下のセクションでは、各ロボットの設定方法について説明します。

POAM とは

行動計画とマイルストーン (POAM) は、クラウド サービス プロバイダー (CSP) が FedRAMP 認証プロセスの一環として毎月提出する、必須の規制対象のレポートです。レポートは、CSP の FedRAMP 認証境界内で特定されたすべてのサイバーセキュリティー脆弱性を文書化しています。また、これらの脆弱性を解決するための改善計画、最新の進捗状況、マイルストーン目標の概要も記載されています。この継続的な報告により、政府のレビュー担当者は、CSP のセキュリティー ステータスとリスク管理活動を把握できます。

各 POAM レコードには通常、脆弱性ごとに 25 から 30 の属性が含まれています。これらの属性には、脆弱性の名前と説明、ソース ID、影響を受ける資産、進捗状況、計画された改善手順、マイルストーン日付、責任者などが含まれます。POAM は、コンプライアンス アーティファクトトおよび運用追跡ツールとして機能します。これは一度限りの提出物ではなく、CSP が定期的に更新する継続的に変化する文書です。

POAM の役割と前提条件

  • IT Compliance–Federal Contracting Compliance Toolkit バンドルのサブスクリプション。

  • プロジェクト、リザルト、およびロボット アプリに対する管理者権限。必要に応じて、関連する FedRAMP ベースライン統制を入手します。

POAM をどこに実装するか

POAM ワークフローは、Diligent One のロボット、プロジェクト、リザルト コレクション、アンケート アプリを使用して実装できます。

  • ロボットは、外部セキュリティー スキャンからの脆弱性データの取り込みと正規化を自動化します。構造化された脆弱性レコードを POAM インベントリに入力し、特定の FedRAMP 統制にリンクされたセキュリティー評価レポート (SAR) から調査結果をインポートします。

  • プロジェクトは、Diligent One で FedRAMP プログラムを設定するための主要なワークスペースとして機能します。年次評価 (SAR) で特定された POAM の脆弱性は、FedRAMP プロジェクト内で文書化され、適切な統制にリンクされます。

  • リザルトは、リザルト コレクションの形式で POAM インベントリをホストします。それは、FedRAMP POAM Excel テンプレートに合わせた構造で、30 以上の属性をサポートします。

  • セキュリティー チームは、アンケートを使用して、スキャン データで取得されない詳細情報を含む脆弱性レコードを手動で入力して完成させます。詳細情報には、マイルストーン、改善アクション、ベンダー依存関係、根拠、調整が含まれます。

  • 影響度レポートは、POAM インベントリを公式 FedRAMP POAM Excel テンプレートにエクスポートします。正規化および強化されたデータをリザルト コレクションから直接取得します。

    メモ

    影響度レポート機能は、デフォルトのツールキットのインストールには含まれていません。環境内でこのレポートのエクスポートを有効にして設定するには、プロフェッショナル サービスチームと調整してください。

手順

セキュリティー スキャン自動化ロボット

1。マップの設定

各セキュリティー スキャナーは、特定された脆弱性のリストを含む CSV ファイルを生成します。これらのファイルの構造は使用するスキャナーによって異なります。FedRAMP 行動計画とマイルストーン (POAM) レポートと正確に統合するには、スキャナーの出力が必要な POAM フィールドにどのようにマッピングされるかを理解することが重要です。

この統合をサポートするには、各セキュリティー スキャナー用のマッピング キーを作成する必要があります。CSV 形式が一貫性を維持している場合、このマッピング キーはスキャナーごとに一度作成するだけで済み、同じソースからの将来の CSV ファイルで再利用できます。

各スキャナーは異なるデータを出力するため、CSV ファイルを確認して、各列が対応する POAM フィールドとどのように合致するかを判断することが不可欠です。マッピング キーは、3 列形式の CSV ファイルである必要があります。

  • 列 APOAM レポートの属性(脆弱性名、検出日など)。

  • 列 Bセキュリティー スキャン CSV からの対応する列名。

  • 列 C一意性と包含性の条件を決定するために必要な属性(Yes または No)。

    この列は、脆弱性レコードが一意であり、POAM インベントリに含める必要があるかどうかを決定する上で重要な役割を果たします。属性を Yes としてマークした場合、自動取り込み中に一意性を識別して重複を回避するためにその属性が必要であることを示します。

    • セキュリティー スキャン自動化ロボットは、Yes とマークされた属性を使用して、受信した脆弱性レコードを POAM インベントリ内の既存のエントリと比較します。この比較により、重複レコードが追加されるのを防ぎます。

    • ロボットが一意性チェックを実行できるようにするには、少なくとも 1 つの属性を Yes とマークする必要があります。この要件を満たさないと、ロボットは脆弱性が新規であるかすでに存在しているかを判断できません。

      たとえば、CVE ID が必須としてマークされている場合、ロボットは CVE が POAM インベントリにすでに存在しているかどうかをチェックします。レコードが存在している場合はそのレコードはスキップされ、存在していない場合は追加されます。

    • フィールドの組み合わせを使用して一意性を定義するために、複数の属性を必須としてマークすることができます。

      たとえば、異なる資産について同じ CVE をレポートしたい場合は、CVE資産識別子の両方を必須としてマークすることができます。これにより、ロボットは各 CVE-資産ペアを個別の脆弱性として扱うことができます。

    • セキュリティー スキャン ロボットが正しく機能し、正確で重複排除された脆弱性の追跡を確保するには、少なくとも 1 つの属性を必須としてラベル付けする必要があります。

2。セキュリティー スキャン データをアップロードし、ロボットのタスクを設定する

マッピング キー CSV とセキュリティー スキャン ファイルをセキュリティー スキャン自動化ロボットの[作業データ]タブにアップロードし、[タスク]タブに次のパラメーターを指定します。

パラメーター詳細
セキュリティー スキャン マッピング ファイルロボットの[作業データ]タブにアップロードされるマッピング ファイルの名前。
セキュリティー スキャン ファイルロボットの[作業データ]タブにアップロードされるセキュリティー スキャン ファイルの名前。
脆弱性検出器ソースCSV ファイルを生成したセキュリティー スキャナー(Tenable など)。

メモ

Tenable や Twistlock などのスキャン タイプごとに別々のロボット タスクが作成され、そのスキャナーの特定の要件に合わせてパラメーターが設定されます。これにより明確さを維持し、パラメーターの上書きを防ぎ、並列処理をサポートします。

3。セキュリティー スキャン自動化ロボットを実行する

パラメーターを追加した後に、ロボット アプリ内でロボットを手動で実行できます。ロボットは次のことを保証します。

  • マッピング キーを使用してスキャン ファイルを解析します。

  • 脆弱性を正規化し、POAM インベントリにインポートします。

  • 必須の属性の組み合わせを使用して重複を避けます。

  • 以前にクローズした脆弱性で、新しいスキャンで再発見されたものにフラグを付けます。

4。POAM インベントリのレコードを確認する

ロボットが正常に実行された後に、セキュリティー チームはリザルト アプリの POAM インベントリにアクセスしてレコードを確認します。一般的に POAM レコードを完成させるには、通常のワークフローで 3 つの異なるソースからの情報を組み合わせる必要があります。

  • 属性の約 3 分の 1 は、FedRAMP セキュリティー スキャン自動化ロボットを使用したセキュリティー スキャンを通じて自動的に入力されます。例としては、脆弱性名、脆弱性の説明、資産識別子、元のリスク評価、および類似のフィールドが含まれます。これらのフィールドは、スキャン出力に基づいて自動的に入力され、必要な POAM フィールドにマッピングされます。

  • 別の 3 分の 1 は、構造化されたアンケートを使用して手動で入力され、改善を担当するエンジニアリング チームなどの社内リソースに割り当てられます。これらのチームは、計画されたマイルストーン、全体的な改善計画、必要なリソース、責任者、および POAM レポートの完了に必要なその他の詳細など、重要な改善の詳細を提供します。詳細については、「 アンケートの配布」を参照してください。

    たとえば、POAM スペシャリストが脆弱性を特定した場合、適切なチームにアンケートを割り当て、チームがアンケートに記入して必要な改善コンテキストを提供します。

  • 残りの列は、偏差要求に関連し、特定の場合にのみ入力する必要があります。偏差属性は、クラウド サービス プロバイダー (CSP) が、サービス レベル アグリーメント (SLA) の延長を検討するように FedRAMP に要求したときに適用されます。たとえば、脆弱性のリスクがスキャンで提案されたものよりも低いこと、または誤検出であることを正当化できる場合があります。これらの列には、運用要件、偏差の理論的根拠、付属ドキュメント、ベンダーへの依存関係、最終ベンダー チェックイン日、ベンダー依存製品名、調整済みリスク評価、誤検出が含まれます。CSP が期日の延期やリスク調整を求めていない場合、これらのフィールドは通常、エクスポートされるまで空白のままになります。

このレビュー ステップは、自動化、手動入力、または条件付き偏差アプローチを通じて、各 POAM レコードが完全かつ正確で、FedRAMP レポート要件に合致していることを確認します。

5。リザルトの POAM レコードの表示をカスタマイズする

リザルト アプリで、条件付き書式、カラー コーディング、列の並べ替え、列の表示設定などの組み込みのカスタマイズ機能を使用して、POAM レコードの表示をカスタマイズすることができます。これらのオプションを使用すると、優先度の高い脆弱性を強調表示し、頻繁に使用するフィールドを前面に表示し、関連性の低いデータを非表示にして紛らわしい表示を減らすことができます。さらに、レポートのビジュアルを使用して傾向と改善の進捗状況を追跡し、解釈を追加してコンテキストや論理的根拠を含むレコードに注釈を付けることができます。これらの機能は、脆弱性管理を合理化し、より効果的なレポートと意思決定をサポートするのに役立ちます。詳細については、テーブル データの表示を参照してください。

6。レコードを POAM レポートにエクスポートする

すべてのレコードを完了し、その進捗状況を確認した後に、影響度レポートの機能を使用して POAM インベントリを FedRAMP POAM Excel テンプレートにエクスポートします。エクスポートは、FedRAMP の要件に従って、オープンおよびクローズされた脆弱性を自動的に並べ替えます。

オプションのフィルターまたはレコード選択により、エクスポートをカスタマイズでき、複数の認証境界やレポート ニーズに合わせたカスタマイズをサポートします。

SAR 脆弱性自動化ロボット

SAR 脆弱性自動化ロボットの構成

SAR 脆弱性自動化ロボットは、年次セキュリティー評価レポート (SARS) からの調査結果をインポートし、関連する FedRAMP コントロールにマッピングします。

  1. ロボット アプリからロボットにアクセスし、SAR 調査結果ファイルを[作業データ]タブにアップロードします。

  2. SAR ファイル名とプロジェクト ID を使用してロボット タスクを設定します。

  3. ロボットは SAR コンテンツを解析し、リザルト アプリで POAM インベントリを入力します。

  4. アンケートを使用してインポートされたレコードを確認して完了し、適切な統制にリンクします。

これらのレコードは SAR ソースとしてタグ付けされ、トレーサビリティを確保するために特定の統制にリンクされます。

POAM OSCAL ロボット

POAM OSCAL ロボットは、FedRAMP Reporting Toolkit の一部です。これは、リザルト アプリ内の POAM インベントリからの構造化された脆弱性データを、FedRAMP および NIST で要求されている機械で判読可能な OSCAL (Open Security Controls Assessment Language) 形式に変換します。

1。POAM インベントリを準備する

POAM インベントリを準備するには、POAM リザルト コレクション内のすべての脆弱性レコードが完全で最新であることを確認する必要があります。脆弱性名、検出日、改善手順、マイルストーンなどの必須フィールドが入力されていることを確認する必要があります。追加情報が必要な場合は、アンケートを使用してレコードを確認して記入することもできます。

2。POAM OSCAL ロボットにアクセスする

Diligent One でロボット アプリにアクセスし、FedRAMP Reporting Toolkit の一部である POAM OSCAL エクスポート ロボットを見つけます。

3。必要なファイルをアップロードする

作業データ]タブで、必要な構成ファイルまたはテンプレートをアップロードします。一部のバージョンではテンプレートを必要としない場合があります。正確なデータ処理をサポートするために、POAM インベントリがロボットに正しくリンクされていることも確認する必要があります。

4。ロボット パラメーターを設定する

タスク]タブで、次のパラメーターを指定してロボットを設定します。

  • プロジェクト IDPOAM データに関連付けられている FedRAMP プロジェクトを識別します。

  • API トークンDiligent ONE HCL トークンを使用してアクセスを認証します。

  • 環境またはエクスポートの設定を反映する追加パラメーター。

5。ロボットを使用する

ロボットをトリガーしてエクスポート処理を開始します。実行中に、ロボットは次のアクションを実行します。

  • POAM インベントリからデータを抽出します。

  • データを有効な OSCAL JSON ファイルに変換します。

  • OSCAL スキーマと比較してファイル構造を検証します。

6。出力をダウンロードする

タスクが完了したら、[タスクの実行詳細]に移動して出力を表示できます。OSCAL POAM JSON ファイルが生成され、ダウンロードできます。このファイルは FedRAMP 提出の要件を満たしており、さらなる検証のために使用することもできます。