ソリューション ガイドFedRAMP SSP ワークフローの実装
FedRAMP SSP 自動化ロボットは、Diligent One プロジェクトから構造化データを抽出し、公式の FedRAMP SSP Word テンプレートにエクスポートすることで、システム セキュリティー計画 (SSP) の生成を効率化するのに役立ちます。
このセクションでは、FedRAMP SSP ワークフローについて説明します。
SSP とは
システム セキュリティー計画 (SSP) は、クラウド サービス プロバイダー (CSP) が FedRAMP 認証のために準備して維持しなければならないコンプライアンス文書です。プロバイダーのプログラム、認証ステータス、セキュリティー境界、連邦政府の基準を満たすために必要な詳細な統制の概要が記載されています。SSP には、システムの所有権、責任、ネットワーク アーキテクチャ、職務分掌、活用されたシステムも含まれます。その主要なセクションでは、標準化された表で組織とシステムの詳細を示し、付録 A では、実装の詳細、役割、およびステータスとともに数百のセキュリティー統制を文書化します。CSP は、最初の承認、年次レビュー、および主要なシステム変更に必要な、SSP を定期的に更新して規制当局に提出し、効果的なセキュリティー保護対策の監査可能な証拠を評価者に提供する必要があります。
CSP は、最初の承認プロセスと年次レビュー サイクルの間に SSP 文書を作成して提出します。
SSP の役割と前提条件
システム管理者は、ツールキットのインストール、ロボット タスクの設定、権限の管理を担当します。
プロジェクト所有者とセキュリティー専門家は、プロジェクトのフィールドへの入力、統制の証拠の更新、添付ファイルの管理を行います。
IT Compliance–Federal Contracting Compliance Toolkit バンドルのサブスクリプション。
Diligent One プロジェクト、結果、ロボット アプリへのアクセス。
FedRAMP Rev.5 のコントロールと互換性のあるテンプレートの可用性。
SSP を実装する場所
Diligent One のロボット、プロジェクト、結果、レポート アプリを使用して SSP ワークフローを実装できます。
ロボットは、プロジェクトからのデータの抽出を自動化し、必要な SSP テンプレートに人間が判読できる形式 (Word) と機械が判読できる形式 (OSCAL) で入力します。
プロジェクトは、システムの詳細や統制の実施を含むすべての SSP 関連データを収集、整理、保存するための一元的なハブとして機能します。
結果は、脆弱性の構造化されたインベントリを提供します。特に POAM レポートと SSP レポートを統合した場合は、これらを統制にリンクし、継続的なコンプライアンスの証拠に関連付けることができます。
レポートは、標準化されたテンプレートを使用して SSP を生成します。必要に応じて、補強証拠を添付することもできます。
手順
FedRAMP プロジェクトの作成
Diligent One の FedRAMP Reporting プロジェクト タイプは FedRAMP 要件を満たすように事前に設定されており、自動化ロボットと互換性があります。このプロジェクト タイプには、FedRAMP 用にカスタマイズされた事前構築された属性とセクションが含まれます。以下の内容が含まれます。
システム レベルの SSP データ(セクション 1 ~ 12)
統制レベルの実装データ(付録 A)
[システム セキュリティー計画の設定]タブ
新しく作成された FedRAMP プロジェクトでは、[システム セキュリティー計画」タブは、([システム セキュリティー計画情報タブとも呼ばれる)は、必要な SSP セクション データを入力するための構造化フィールドを提供します。一貫性のあるフォーマットをサポートするために、関連するサンプル テーブルが各セクションに追加されます。FedRAMP SSP テンプレートのセクション 1 から 12 に直接マップされる構造化データをキャプチャできます。
これらのテーブルは、自動化ロボットがプロジェクト データを正確にインポートして SSP テンプレートにマッピングできるようにするのに役立ちます。以下の必須のフィールドとテーブルがあります。
| フィールド | 詳細 |
|---|---|
| 作成者 | 作成者と組織の情報を含む |
| システム情報 | システムの基本的な詳細 |
| システム所有者 | 連絡先の詳細 |
| ISSO の連絡先 | InfoSec の連絡先 |
| 活用した FedRAMP システムと外部システム | 認証境界の内側と外側のシステム |
| サービス、ポート、およびプロトコル | 技術詳細 |
| 職務分掌 | 役割ベースのアクセス制御と責任 |
| SSP 添付ファイル | 付録ドキュメント(アーキテクチャ図など) |
[SSP 添付ファイル]タブ
FedRAMP は、クラウド サービス プロバイダー (CSP) に対し、主要な SSP とともにいくつかの付録と補足文書を提出することを義務付けています。これらの補足資料には通常、次のものが含まれます。
アーキテクチャ図
ネットワーク境界の図
ポリシー文書
システム コンポーネントのインベントリ
その他の技術的または手続きアーティファクト
[SSP 添付ファイル]タブは、次の操作のための構造化された方法を提供します。
これらの文書をプロジェクトに直接アップロードする。
SSP エクスポートでそれらを参照する。
各添付ファイルが現在のバージョンの SSP に含まれているかどうかを示す。
タブの各エントリには、次のフィールドが含まれています。
添付ファイルの名前/タイトル
システム セキュリティー計画 ID
現在のバージョンの SSP に添付ファイルを含める
添付ファイルの種類
添付ファイル #1 の URL
添付ファイル #2 の URL
必要な詳細を入力すると、PDF、Word ドキュメント、画像などの実際の添付ファイルがアップロードされます。このアプローチは、プロジェクト内での集中アクセスとバージョン管理をサポートします。
統制のインポート
Diligent One の FedRAMP Reporting Project ワークフローは、正しい FedRAMP Rev.5 セキュリティー制御が含まれ、自動化のために適切に参照されることを保証します。これらの統制は、プロジェクトの設定の前に、組織のコンプライアンス マップまたはフレームワーク内にすでに存在している必要があります。FedRAMP Reporting Project では、FedRAMP の仕様を満たして自動化をサポートするために必要な正確なマッピングとフォーマットを使用して、統制をインポートまたは定義することができます。
FedRAMP Reporting Project で使用されるベースラインは、システム カテゴリに基づいて選択され、詳細は FedRAMP Rev. 5 Security Controls Toolkit から取得されます。適切なベースライン(中または高など)が特定された後、正確なマッピングと自動化をサポートするために、関連する統制ファミリーがプロジェクトに追加されます。
統制の詳細を追加する
FedRAMP レポート ロボットが完全な SSP レポートを生成できるようにするために、各統制の統制パラメーターと実装ステップが必要です。人間が判読可能形式と OSCAL 形式の SSP を生成するためのプロジェクトを準備するには、これらのフィールドが FedRAMP が予期するとおりに正しく入力され、構造化されていることを確認する必要があります。
統制パラメーター[統制]タブで、その統制用の正しいパラメーター名を持つ書式設定済みパパラメーター テーブルが追加されます。
統制の実装(ウォークスルー)テーブル[ウォークスルー]タブで、ソリューションの内容と実装方法を示す実装ステップの表を追加します。各統制には異なる番号やステップ名を指定できます。
メモ
一部の統制には実装ステップが 1 つしか含まれておらず、他の統制はパラメーターを必要としない場合があります。パラメーターのない統制の場合、対応するステップは適用できず、レポート生成に影響を与えずに省略できます。
その他の統制属性各統制には以下が含まれます。
統制 ID
責任がある役割
統制パラメーター
実装ステップ
実装の進捗状況
統制の発信元と継承された詳細
備考
メモ
パラメーター名やステップ名は編集しないでください。正常にエクスポートするには標準化された名前が必要です。エラーまたは不一致にはロボット ログでフラグが付けられます。
FedRAMP SSP テンプレートをロボットにアップロードする
Diligent One Reporting Automation Toolkit を使用して FedRAMP システム セキュリティー計画を自動化および探索するには、まず Diligent One プラットフォームのシステム セキュリティー計画自動化ロボットの[作業データ]タブに次のテンプレートをアップロードする必要があります。
セクション 1 ~ 12 をカバーする FedRAMP SSP テンプレート
すべてのセキュリティー統制をカバーする付録 A テンプレート
メモ
両方のテンプレートは .docx 形式である必要があり、それらのファイル名は SSP 自動化ロボットのパラメーター セクションで正確に一致している必要があります。ロボットはこれらの名前を使用して SSP テンプレートに正しく入力します。これは付録 A では特に重要であり、各統制は複数のパラメーターと実装ステップを含むことができます。
ロボットはテンプレートを解析して特定のフィールドを見つけ、プロジェクト内の対応するエントリと一致させます。名前が一致しない場合(たとえば、テンプレート内のパラメーター A とプロジェクト内のパラメーター A)、ロボットは接続を確立できません。このシナリオの結果:
出力にデータがない。
生成されたドキュメント内のエラー メッセージ。
一致しないフィールドを示すトレース ログ エントリ。
SSP ロボットのセットアップと実行
ロボットの[タスク] > [SSP 自動化]セクションで、パラメーターには次のものが含まれます。
データの取得元のプロジェクト ID。
アップロードされた SSP テンプレートと付録 A テンプレートのファイル名。
SSP 自動化プロセスを開始する API トークン。
構成後に、ロボットはプロジェクト データをインポートして、選択したテンプレートにデータを入力し、送信可能な 2 つの出力ファイルを生成します。これらの出力ファイルは、SSP 自動化ロボットの[タスクの実行詳細]からダウンロードできます。
必要なデータが欠落している場合は、出力ドキュメントとトレース ログにエラー メッセージが表示され、これは不完全なセクションや不適切なフォーマットのセクションを特定するのに役立ちます。このフィードバックは、レポートを正常に生成するために必要なすべてのフィールドを完了するためのチェックリスト スタイルのアプローチをサポートします。
OSCAL ロボットをセットアップして実行する
FedRAMP Reporting Toolkit の一部である OSCAL ロボットは、NIST と FedRAMP が定義した標準に従って、SSP データを機械が可読な Open Security Controls Assessment Language (OSCAL) フォーマットにエクスポートします。
まず、ロボット アプリにアクセスし、SSP OSCAL エクスポート ロボットを選択し、SSP テンプレートを[作業データ]タブにアップロードします。ロボットのパラメーター画面で、次の詳細を入力します。
プロジェクト ID完了した FedRAMP プロジェクトの識別子。
Diligent One API トークン認証に使用される HCL トークン。
構成が完了すると OSCAL ロボットは関連するすべてのプロジェクト データと添付ファイルを集計して機械が判読可能な OSCAL SSP ファイルを生成します。
