FedRAMP

要約

米国連邦政府機関にクラウドサービスを販売していますか？FedRAMP認証がなければ、取引は成立しません。

NIST 800-53に基づくが、クラウド向けに調整されており、3PAO監査、厳格な管理、継続的な監視が必要です。

12～18ヶ月（またはそれ以上）かかりますが、米国政府市場全体を開放します。大規模な市場で活躍したいのであれば、それだけの価値があります。

FedRAMPスコアカード概要:

• 開発者の労力: 高い（厳格なNIST 800-53管理策に従ったサービスの構築と運用、広範な文書化（SSP）、厳格な3PAO評価と継続的な監視のサポートが必要です）。
• ツールコスト: 非常に高い（NIST 800-53に準拠したセキュリティツール、ロギング/監視、独立したFedRAMP環境、および高額な3PAO評価費用に多大な投資が必要）。
• 市場への影響: 非常に重要（米国連邦機関にクラウドサービスを販売するCSPにとって義務的な要件です）。
• 柔軟性: 低い（特定のNIST 800-53ベースライン（Low、Moderate、High）を規定し、FedRAMP PMOのプロセスとテンプレートへの準拠を要求します）。
• 監査の厳格度: 非常に高（3PAOおよびスポンサー機関またはJABによる初期評価と承認、さらに厳格な継続的監視と年次再評価が必要です）。

FedRAMPとは何ですか？

米国連邦リスクおよび認証管理プログラム（FedRAMP）は、連邦政府機関が利用するCloud Service Offerings (CSOs)のセキュリティ評価、承認、および継続的な監視に対して、標準化されたリスクベースのアプローチを提供するために2011年に設立された米国政府全体のプログラムです。その核となる原則は「一度行えば、何度でも利用できる」です。つまり、Cloud Service Provider (CSP)はFedRAMPプロセスを一度経るだけで、複数の連邦政府機関がそのセキュリティ承認パッケージを再利用して、独自のAuthorization to Operate (ATO)を付与できる可能性があります。

主要な構成要素：

• 標準化されたセキュリティベースライン: FedRAMPは、NIST SP 800-53に基づいてセキュリティ要件を定めています。FIPS 199の分類に基づき、低、中、高のインパクトレベルごとに特定のコントロールベースラインを定義し、それぞれにどの800-53コントロールと強化が必要かを指定します。
• 認可パス: を達成するための主要な経路は2つあります。 FedRAMP 認可:
  
  1. Agency Authorization: 特定の連邦政府機関がCSPと直接連携し、そのセキュリティパッケージをレビューし、リスクを受け入れ、その機関での利用のためにATOを付与します。これは最も一般的な経路です。
  2. 合同承認委員会（JAB）暫定承認（P-ATO）：JAB（DoD、DHS、GSAのCIOで構成）は、厳格な一元化された審査のために少数のCSOを選定し、各機関が活用できるP-ATOを発行します。これは非常に求められていますが、取得はより困難です。
• 第三者評価機関 (3PAO): 認定された独立機関（3PAO）が、CSOの初期セキュリティ評価をFedRAMP要件に対して実施し、継続的な年次評価を行います。
• 継続的監視: 認可されたCSOは、セキュリティ態勢を継続的に監視し、発見事項（脆弱性、インシデント）を報告し、3PAOによる年次評価を受ける必要があります。
• FedRAMP Marketplace: FedRAMPの指定（「Ready」、「In Process」、「Authorized」）を取得したCSOの公開リストです。

FedRAMPは、政府データを扱う前にクラウドサービスが連邦政府のセキュリティ基準を満たしていることを保証するゲートキーパーとして機能します。

なぜそれが重要なのか

クラウドサービスプロバイダー（CSP）にとって、FedRAMP認証は極めて重要です。

• 連邦市場へのアクセス: 米国連邦政府のデータを処理または保存するすべてのCSOにとって必須です。FedRAMP ATOがなければ、連邦機関は通常、クラウドサービスを使用できません。
• 信頼性と信用度の向上: FedRAMP認証を取得することで、非常に高いレベルのセキュリティ保証が示され、連邦政府機関だけでなく、州・地方政府や民間企業（特に規制産業の企業）との信頼関係を構築できます。
• 標準化されたアプローチ: 複雑ではありますが、連邦政府全体で認められた単一の要件セットを提供し、各機関からの異なるセキュリティ要件を回避します。
• 競争優位性: FedRAMP認証を取得していることは、連邦政府契約を追求する際に、未認証の競合他社に対してCSPに大きな優位性をもたらします。
• セキュリティ体制の向上: 厳格なプロセスにより、CSPはNIST 800-53に基づいた堅牢なセキュリティ制御を実装することが求められ、全体的なセキュリティが大幅に強化されます。

簡単に言えば、CSPが米国連邦政府と取引をしたい場合、FedRAMPは必須です。

何を、どのように実装するか (技術的側面とポリシー側面)

FedRAMP認証の取得は、多大な投資とNIST 800-53コントロールへの準拠が必要な多段階のプロセスです。

1. 準備とパートナーシップ:
   
   • 影響レベルの決定: 処理するデータの種類に基づき、FIPS 199に従ってCSOを低、中、高の影響レベルに分類します。これにより、必要なNIST 800-53管理策のベースラインが決定されます。
   • 機関スポンサーを見つける（機関ATOの場合）: CSOと提携し、承認プロセスを通じてスポンサーとなる意欲のある連邦機関を特定します。これはしばしば最大の障壁となります。（JABパスには独自の選定プロセスがあります）。
   • 3PAOとアドバイザーの活用: 評価のために認定された3PAOを選定し、準備を指導するアドバイザーを検討してください。
2. ドキュメントと準備状況評価:
   
   • システムセキュリティ計画（SSP）の策定: システムの境界、アーキテクチャ、データフロー、および関連するベースラインから必要なNIST 800-53管理策がそれぞれどのように実装されているかを記述する詳細なSSPを作成します。これは大規模な取り組みです。
   • 支援文書の作成: ポリシー、手順、インシデント対応計画、構成管理計画、緊急時対応計画など。
   • (任意だが推奨) レディネス評価: 本格的な評価の前に、3PAOにレディネス評価レポート（RAR）を実施させ、準備状況を測定してください。
3. 完全なセキュリティ評価 (3PAOによる)：
   
   • セキュリティ評価計画（SAP）の策定: 3PAOは、各管理策をどのようにテストするかを詳述する計画を作成します。
   • 評価の実施: 3PAOは、SSPに概説されているすべての適用可能なコントロールについて、厳格なテスト（インタビュー、文書レビュー、技術的検証）を実施します。
   • セキュリティ評価報告書（SAR）の作成: 3PAOは、脆弱性や管理策の不備を含む調査結果を文書化します。
4. 改善とPOA&M:
   
   • 行動計画およびマイルストーン（POA&M）の策定: 特定された不備がどのように、いつ是正されるかを詳述する計画を作成します。
   • 問題の修復: 特定された脆弱性と管理上のギャップを修正します。
5. 認可:
   
   • パッケージの提出: 最終パッケージ（SSP、SAR、POA&Mなど）を、スポンサー機関（Agency ATOの場合）またはJAB（P-ATOの場合）に提出します。
   • Agency/JABレビュー: 承認機関はパッケージをレビューし、リスクベースの決定を下します。
   • Grant ATO / P-ATO: リスクが許容できる場合、運用承認（ATOまたはP-ATO）が付与され、通常は継続的な監視を条件として3年間有効です。
6. 継続的な監視：
   
   • 継続的なスキャン: オペレーティングシステム、データベース、ウェブアプリケーションの脆弱性スキャンを毎月実施します。
   • POA&M管理: POA&M上の項目を継続的に管理し、改善します。
   • インシデント報告: US-CERTガイドラインに従ってセキュリティインシデントを報告します。
   • 年次評価: 3PAOによる、管理策の一部を対象とした年次評価を受けます。
   • 重要な変更要求: 承認されたシステムに大きな変更を加える前に、承認申請を提出します。

FedRAMPは、NIST 800-53管理策の深い実装、広範な文書化、および厳格で継続的なセキュリティプラクティスを要求します。

避けるべきよくある間違い

FedRAMP承認への道は、潜在的な落とし穴に満ちています。

1. コストと労力の過小評価: 必要な多大な財政的投資（3PAO費用、ツール、人員）と時間（12～18ヶ月以上）を把握できないこと。
2. 経営陣のコミットメント不足: FedRAMPを単なるIT/コンプライアンスのタスクとして扱い、エンジニアリング、製品、セキュリティ、GRCチーム全体にわたる持続的なトップダウンのサポートとリソース配分がない場合。
3. 機関スポンサーがいない（機関パスの場合）: ATOを付与する意思のある、確約された連邦政府機関スポンサーを確保せずに技術作業を開始すること。
4. 不完全・不正確なSSP: システム境界を正確に反映していない、またはすべての必須管理策がどのように実装されているかを適切に記述できていないシステムセキュリティ計画を提出すること。これは、遅延・却下の主な原因となります。
5. 不適切な3PAOの選定/管理: 経験の浅い3PAOを選定したり、評価プロセスを効果的に管理しなかったりすること。
6. 継続的監視要件の無視: 承認を取得したにもかかわらず、それを維持するために必要な堅牢な継続的監視プロセスを実装しないこと。
7. 商用環境で十分であると仮定する: 厳格な連邦要件（例：FIPS 140暗号検証）を満たすために、大幅な変更なしに、または別途強化された環境を構築することなく、商用クラウドサービスを承認させようとすること。
8. 共有責任の理解不足: 承認されたIaaS上で構築するPaaS/SaaSプロバイダーにとって、継承される管理策と、自身が実装する責任のある管理策を理解し、文書化しないこと。

監査人/3PAOが尋ねること（開発者向け）

FedRAMPの3PAOによる評価は、NIST 800-53の管理策を深く掘り下げます。開発者は、以下に関連するコンプライアンスを実証するよう求められる可能性があります。

• (SAファミリー - システム調達) 「SDLCにセキュリティをどのように組み込んでいますか？開発者セキュリティトレーニング（SA-3）、SAST/DASTなどのセキュリティテスト（SA-11）、およびソフトウェアコンポーネントのサプライチェーンリスク管理（SA-12）に関する文書と証拠を提示してください。」
• (CM Family - 構成管理) 「ソフトウェアリリースにおける変更管理プロセス（CM-3）を説明してください。アプリケーションのセキュアなベースライン構成はどのように維持されていますか（CM-2、CM-6）？」
• (SI Family - System Integrity) 「アプリケーションは一般的な欠陥（SI-15）からどのように保護されていますか？悪意のあるコードはどのように検出/防止されますか（SI-3）？情報出力の処理はどのように管理されていますか（SI-11）？」
• (AC Family - Access Control) 「異なる環境やデータにアクセスする開発者に対して、最小権限の原則 (AC-6) と職務分掌 (AC-5) がどのように実装されているかを示してください。」
• (AU Family - Audit & Accountability) 「セキュリティに関連するアプリケーションレベルのイベントがログに記録され（AU-2）、ログが保護されている（AU-9）証拠を提示してください。」
• (SC Family - System & Communications Protection) 「アプリケーションスタック内で、データは転送中（SC-8）および保存時（SC-28）にどのように暗号化されていますか？FIPS 140検証済みモジュールは使用されていますか（SC-13）？」

3PAOは、ドキュメント（SSP、ポリシー、手順書）、設定、ログ、スキャン結果、トレーニング記録、そして多くの場合ライブデモンストレーションといった検証可能な証拠を要求します。

開発チームのためのクイックウィン

完全なFedRAMPには広範な労力が必要ですが、NIST 800-53（FedRAMPの基礎）に準拠する開発チームは以下から始めることができます。

1. セキュアなSDLCプラクティスを採用する: セキュリティ要件、脅威モデリング、セキュアコーディング標準、および堅牢なテスト（SAST、DAST、SCA）を開発ライフサイクルに統合します。（SAファミリーに準拠）
2. 強力な認証の実装: 開発者がコードリポジトリ、CI/CD、およびクラウド環境にアクセスする際にMFA（多要素認証）を使用します（IAファミリーに準拠）。
3. ロギングの強化: アプリケーションが詳細でセキュリティ関連の監査ログを生成することを確認します（AUファミリーに準拠）。
4. シークレット管理: ハードコードされたシークレットを排除し、承認されたボルトを使用します（AC、SIファミリーに準拠）。
5. 依存関係管理（SBOM/SCA）：サードパーティライブラリの脆弱性を積極的に管理します（SI、RA、SAファミリーに準拠）。
6. Immutable Infrastructure & IaC: セキュリティスキャンを備えたInfrastructure as Codeを使用し、環境を一貫して安全に管理します（CMファミリーに準拠）。
7. FIPS 140検証済み暗号の使用: 暗号化に使用される暗号モジュールが、必要に応じてFIPS 140標準を満たしていることを確認してください（SCファミリーと整合）。

これを無視すると...（非準拠の結果）

米国連邦市場をターゲットとするクラウドサービスプロバイダーにとって、FedRAMP認証を取得または維持できないことは、次のことを意味します。

• 連邦政府市場へのアクセス不可: 連邦政府機関は、FedRAMP ATOを持たないクラウドサービスの使用を一般的に禁止されています。不遵守は、この収益性の高い市場セグメントへのアクセスを完全に遮断します。
• 既存の連邦政府顧客の喪失: 継続的な監視または年次評価の失敗により既存のATOが取り消された場合、そのサービスを利用している連邦政府機関は、他のサービスへの移行を余儀なくされる可能性があります。
• 著しい投資の無駄: FedRAMP認証の取得に費やされた時間と費用は、ATOが取得または維持されない場合、失われます。
• 競争上の不利: FedRAMP認証を持つ競合他社は、連邦市場のシェアを獲得するでしょう。
• 評判の損害: FedRAMPプロセスに不合格となることは、CSPの評判に悪影響を及ぼし、商業的な売上にも影響を与える可能性があります。

基本的に、FedRAMPは米国連邦政府分野におけるCSPsにとって必須の参入チケットとなっています。

よくあるご質問

FedRAMP承認は誰が必要ですか？

米国連邦政府のデータを処理または保存する、IaaS、PaaS、SaaSのいずれであっても、クラウドサービスオファリング（CSO）を提供するすべてのクラウドサービスプロバイダー（CSP）は、連邦政府機関がそれを使用する前にFedRAMP認証を取得する必要があります。

FedRAMPのインパクトレベル（Low、Moderate、High）とは何ですか？

これらのレベルは、FIPS 199に従い、クラウドサービスが扱うデータの機密性、完全性、または可用性の喪失がもたらす潜在的な影響（Low、Moderate、またはHigh）に基づいてセキュリティ要件を分類します。より高いインパクトレベルでは、NIST 800-53のより多くの管理策が大幅に必要となります。Moderateが最も一般的なベースラインです。

Agency ATOとJAB P-ATOの違いは何ですか？

• Agency ATO (Authority to Operate): 特定の連邦政府機関が、CSOの自機関での利用のために付与します。当該機関は、FedRAMPセキュリティパッケージに基づいてリスクを受け入れます。これは最も一般的な経路です。
• JAB P-ATO（暫定運用承認）：合同承認委員会（DoD、DHS、GSA）による厳格な審査を経て付与されます。これは機関による審査の準備が整っていることを示しますが、機関のATOを保証するものではありません。各機関はP-ATOパッケージを活用して、より迅速に独自のATOを付与できます。

3PAOとは何ですか？

A FedRAMP第三者評価機関（3PAO）は、FedRAMPプログラムで義務付けられているセキュリティ評価を実施する資格を持つ、独立した認定機関です。CSPは、初期評価および年次継続的監視評価のために3PAOを関与させる必要があります。

FedRAMP認証にはどのくらいの期間がかかりますか？

このプロセスは長期間にわたり、CSOの複雑さ、インパクトレベル、準備状況、および選択された承認経路によって異なりますが、通常、準備からATO取得まで12～18ヶ月以上かかります。

FedRAMPの費用はいくらですか？

コストは非常に大きく、広範囲にわたりますが、コンサルティング/アドバイザリーサービス、3PAO評価（初回および年次）、環境の強化または再構築の可能性、強化されたツール、および内部人員の時間を含めると、容易に数十万ドル、あるいは数百万ドルに達する可能性があります。

FedRAMP認証は永続的ですか？

いいえ。ATO/P-ATOは通常3年間付与されますが、3PAOによって実施される継続的な監視の成功と年次評価の合格が条件となります。セキュリティ体制を維持できない場合、承認の停止または取り消しにつながる可能性があります。