ソリューション ガイドFedRAMP、SSP、POAM、および OSCAL Reporting ツールキットの実装
FedRAMP SSP、POAM、OSCAL Reporting ツールキットは、Diligent One プラットフォーム内の統合ソリューションであり、連邦のクラウド サービス プロバイダーが FedRAMP 準拠文書の作成と管理を自動化できるように支援します。これらには、システム セキュリティ計画 (SSP)、行動計画とマイルストーン (POAM)、機械が判読可能な OSCAL (Open Security Control Assessment Language) の出力が含まれます。これらのアーティファクトは、FedRAMP の認証を維持するために不可欠であり、従来から生成と更新に時間がかかります。このツールキットは、データの収集、正規化、エクスポートのプロセスを自動化し、手作業を減らし、精度を向上させます。
このツールキットは、文書作成の大きな作業負荷に対処するために設計されており、プロバイダーが SSP および POAM レポートを準備、保守、更新する方法を簡素化します。SSP は、プロバイダーの認証境界、システム アーキテクチャ、および数百のセキュリティー統制の実装の概要を示しています。POAM は脆弱性と改善の取り組みを追跡し、定期的に更新して連邦規制当局に提出しなければなりません。
OSCAL とは
OSCAL は、標準化された機械が判読可能なフォーマットを提供し、組織がサイバーセキュリティー文書(管理カタログ、ベースライン、システム セキュリティ計画 (SSP)、評価結果など)を提示するのに役立ちます。米国国立標準技術研究所 (NIST) によって開発された OSCAL は、XML、JSON、YAML を使用して、セキュリティ統制とコンプライアンス アーティファクトの文書化、交換、評価の自動化、相互運用性、一貫性をサポートしています。
FedRAMP の承認プロセスでは、CSP が SSP や POAM などの重要な文書を、従来の人間が判読できる形式と OSCAL で提出することを義務付けています。OSCAL を使用することで、組織は、複雑なレポート作成と継続的な評価のプロセスを自動化し、コンプライアンス ワークフローを合理化して、レビュー サイクルを短縮します。システムは、OSCAL 文書の検証と処理をプログラムで行えるため、手作業を削減し、各レビュー間の一貫性を向上させることができます。
ツールキット コンポーネント
インストール時に、ツールキットには、自動化されたレポート生成とデータ管理をサポートするための事前設定済みのロボット、プロジェクト タイプ、結果インベントリ、アンケートが含まれています。
ロボット
SSP 自動化ロボット
Diligent One FedRAMP プロジェクトから構造化データを抽出し、それを Word テンプレートにマージすることにより、完全なシステム セキュリティー計画 (SSP) レポートを生成します。
主要な SSP セクション(1 ~ 12)と統制実装の詳細を示す付録 A の両方のデータ入力を自動化します。
人間が判読可能な (Word) 形式と機械が判読可能な (OSCAL) 形式の両方でエクスポートをサポートします。
FedRAMP POAM 自動化ロボット
FedRAMP セキュリティー スキャン自動化ロボット
Tenable、Rapid7、Qualys などのセキュリティー スキャナーからエクスポートされた CSV から脆弱性データを直接インポートします。
リザルト アプリ内の POAM インベントリにデータを正規化します。
FedRAMP SAR 脆弱性自動化ロボット
年次セキュリティー評価レポート (SARS) で特定された脆弱性をインポートし、関連するセキュリティー統制にマッピングします。
POAM OSCAL ロボット
POAM インベントリを OSCAL 形式に変換し、機械で判読可能な規制申請をサポートします。
その他のコンポーネント
レポート コレクション プロジェクトの種類
すべての FedRAMP の実装の詳細とコンプライアンス アーティファクトを一元化して管理するように設計された Diligent One の事前設定済みプロジェクト形式です。
POAM リザルト コレクション
脆弱性データの入力、正規化、および重複排除のための一元化された結果テーブルであり、必要なすべての FedRAMP レポートをサポートします。
POAM ビルダーのアンケート
自動スキャンでは利用できない脆弱性の詳細を手動で入力するためのインライン フォーム。
