FedRAMP
概要
米国連邦政府では、アメリカ国民に最も革新的、安全、かつコスト効率のよい方法でサービスを提供するよう尽力しています。連邦政府の運営をどれほど効率化し、国家全体での任務を推進するために必要な革新をどれほど実現できるかという点において引き続き重要な要素となっているのが、クラウドコンピューティングです。現在、多くの連邦政府機関で、連邦政府のデータを処理、保存、および転送するために、AWS の従量制クラウドサービスが使用されているのは、このためです。
-
FedRAMP とは何ですか?
Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認証、および継続的なモニタリングに関する標準的なアプローチが提供されています。FedRAMP の関係省庁には、米国行政管理予算局 (OMB)、米国一般調達局 (GSA)、米国国土安全保障省 (DHS)、米国国防総省 (DOD)、米国国立標準技術研究所 (NIST)、連邦 CIO 協議会があります。
FedRAMP では、NIST SP 800 シリーズを使用しており、クラウドサービスプロバイダーは、認証が連邦情報セキュリティマネジメント法 (FISMA) に準拠していることを保証するために、Third-Party Assessment Organization (3PAO) (第三者評価機関) が実施する独立したセキュリティ評価を受ける必要があります。自社の製品やサービスを米国政府に提供したいクラウドプロバイダーは、FedRAMP 準拠を立証する必要があります。FedRAMP 要件の詳細については、www.FedRAMP.gov をご覧ください。
-
FedRAMP が重要なのはなぜですか?
Cloud First ポリシーに対応して、米国行政管理予算局 (OMB) では FISMA の最初の政府間セキュリティ認証プログラムを確立するため FedRAMP Policy Memo を発行しました。FedRAMP はすべての米国連邦政府機関およびすべてのクラウドサービスに必須です。FedRAMP は、以下を向上させるために重要です。
- NIST および FISMA 定義の標準を使用したクラウドソリューションのセキュリティの整合性と信頼性
- 米国政府とクラウドプロバイダー間の透明性
- オートメーションとほぼリアルタイムでの継続的なモニタリング
- 評価と認証の再利用による安全なクラウドソリューションの導入
-
FedRAMP コンプライアンスの要件はどのようなものですか?
Cloud First ポリシーでは、連邦政府機関すべてに対し、クラウドサービスに対するセキュリティ評価、認証、継続的なモニタリングを実施する際に FedRAMP プロセスを使用するよう要求しています。FedRAMP プログラム事務所は、FedRAMP コンプライアンスのための以下の 5 つの要件を説明しています。
- クラウドサービスプロバイダー (CSP) は連邦政府機関により Authority to Operate (ATO) の承認を受ける。
- CSP では、NIST 800-53、Rev. 4 (影響レベルが中程度のセキュリティ管理ベースライン) に沿って設定された FedRAMP のセキュリティ管理要件を満たす。
- システムセキュリティパッケージすべてについて、要求される FedRAMP テンプレートを使用する必要がある。
- CSP は独立した監査機関によって評価される。
- 完成したセキュリティ評価パッケージは FedRAMP の安全なリポジトリに投稿される。
-
FedRAMP コンプライアンスのタイプにはどのようなものがありますか?
CSP が FedRAMP に準拠するには以下の 3 つの方法があります。
1.JAB Provisional Authorizations (JAB P-ATO) による方法
CSP が FedRAMP P-ATO による方法を選択した場合、FedRAMP PMO が確認し、FedRAMP から公認された 3PAO が評価した後、DHS、DOD、および GSA CIO が P-ATO を認証します。
2.Agency FedRAMP Authorizations (A-ATO) による方法
CSP が Agency Authorization による方法を選択した場合、お客様の Agency CIO または Delegated Authorizing Official が確認し、FedRAMP PMO が検証した後、FedRAMP 準拠 ATO が認証されます。
3.CSP がパッケージを提出する方法
CSP がパッケージを提出する方法を選択した場合、完成したセキュリティ評価パッケージは FedRAMP から公認された 3PAO により評価され、FedRAMP PMO に提出されます。
-
アマゾン ウェブ サービスは FedRAMP に準拠していますか?
はい、AWS では以下の FedRAMP 準拠システムをご利用いただけます。これらのシステムは、認証を付与されており、FedRAMP セキュリティ制御に対処済みであり (NIST SP 800-53 に基づく)、安全な FedRAMP リポジトリに送信されるセキュリティパッケージに必要な FedRAMP テンプレートを使用しており、認定された独立の第三者評価機関 (3PAO) によって評価されており、FedRAMP の継続的モニタリング要件を維持します。
AWS GovCloud (US) には、高程度影響レベルの Joint Authorization Board の Provisional Authority-To-Operate (JAB P-ATO) と複数の Agency Authorizations (A-ATO) が付与されています。高ベースラインセキュリティカテゴリでの AWS GovCloud (米国) JAB P-ATO 境界の対象範囲内のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。
AWS 米国東部/西部には、中程度の影響レベルでの複数の Agency ATO が付与されています。AWS 米国東部/西部認証対象範囲内のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。
-
FedRAMP への準拠によって AWS のサービスのコストは増えますか?
いいえ。AWS が FedRAMP に準拠した結果としていずれかのリージョンでサービスのコストが増えることはありません。
-
対象となるのはどの AWS リージョンですか?
2 つの別々の FedRAMP Agency ATO が発行されています。1 つは AWS GovCloud (米国) リージョンに適用されるものであり、もう 1 つは AWS 米国東部/西部リージョンに適用されるものです。
-
現在 AWS を使用している米国政府機関はありますか?
はい。現在、多くの政府機関や、政府機関にシステム統合ならびに他の製品やサービスを提供している他の事業者が、AWS の幅広いサービスを使用しています。
-
どのサービスが対象ですか?
すでに FedRAMP および DoD SRG の対象範囲内となっている対象 AWS サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。これらのサービスの使用方法またはその他のサービスの詳細に関心をお持ちの場合は、AWS の営業および事業開発までお問い合わせください。
-
AWS の他のサービスを使用できますか?
はい。お客様は、ワークロードが AWS の他のサービスに適しているかどうかを評価できます。セキュリティ制御とリスク受容の詳細な考慮事項については、AWS の営業および事業開発までお問い合わせください。
-
影響レベルが高程度のシステムを AWS に配置できますか?
はい。お客様は、影響レベルが高程度のワークロードが AWS が適しているかどうかを評価できます。現在、FedRAMP が適用されるのは影響レベルが FISMA の低程度および中程度のクラウドコンピューティングシステムのみですが、AWS ではすでに多くの NIST 800-53 High 統制を満たしており、重要なワークロードをサポートするために NIST の中程度のベースラインを拡張して FISMA-High のアプリケーションやサービスを構築したいと考えているお客様向けに、AWS FISMA-High ワークブックを開発しました。セキュリティ統制とリスク受容の詳細な考慮事項については、AWS の営業および事業開発までお問い合わせください。
-
AWS でデータを保護するにはどうすればよいですか?
お客様は、連邦および DoD のセキュリティガイドラインに沿ってデータを保護するために、AWS の幅広いセキュリティ機能を利用できます。AWS では、お客様に提供する既存のセキュリティツールのテストを継続的に繰り返しており、既存のセキュリティ機能の強化を定期的にリリースしています。
-
AWS FedRAMP セキュリティパッケージにはどこでアクセスできますか?
AWS のお客様は FedRAMP PMO または担当の AWS セールスアカウントマネージャーを通じて AWS FedRAMP セキュリティパッケージへのアクセスをリクエストすることができます。
米国政府機関のお客様は、Package Access Request Form に記入して info@fedramp.gov に送信するか、担当の AWS セールスアカウントマネージャーに問い合わせることで、FedRAMP PMO から AWS FedRAMP セキュリティパッケージへのアクセスをリクエストすることができます。
また、AWS のパートナーと見込み客は、担当の AWS セールスアカウントマネージャーを通じて AWS パートナー FedRAMP セキュリティパッケージへのアクセスをリクエストすることができます。
-
エージェンシーは AWS の FedRAMP 認証をどのように活用することができますか?
Agency Authoring Official (AO) は AWS の任意の FedRAMP 認証セキュリティパッケージを利用して、関連ドキュメントを見直し、Agency Authorization (ATO) を AWS に付与する意思決定を自身のリスクベースで行うことができます。エージェンシーは AWS で独自の ATO を発行する責任を担い、また AWS A-ATO の対象に含まれてないシステムコンポーネントの全体的な認証の責任を負っています。AWS の責任共有モデルの詳細については、AWS セールスアカウントマネージャーにお問い合わせください。
-
AWS でセキュリティとコンプライアンスを管理するにはどうすればよいですか?
AWS で利用できるセキュリティ機能やベンダーのエコシステムを使用することにより、セキュリティ、プライバシー、エンタープライズのリスク管理に関する該当機関のポリシーが組み込まれた適切なシステムの構築を管理およびモニタリングできます。
-
AWS に移行するとどのようなメリットがありますか?
AWS のお客様、パートナー、およびシステムインテグレータが AWS によって得たメリットについてお読みください。
AWS 導入事例
-
継続的なモニタリングは、FedRAMP Agency ATO でどのように処理されていますか?
FedRAMP Concept of Operations (CONOPS) では、一度、認証が与えられると CSP のセキュリティ状況が、評価および認証プロセスに従って監視されます。FedRAMP Authorization の再認証を毎年受けるには、CSP がセキュリティ統制を監視し、それらを定期的に評価して、提供しているサービスのセキュリティ状況が継続的に要件を満たしていることを実証する必要があります。FedRAMP の継続的なモニタリングプログラムを活用している連邦政府機関、および Authorizing Officials (AO) と AO が指定したチームには、AWS の現在のコンプライアンスを確認する責任があります。AO と AO が指定したチームは、AWS FedRAMP の継続的なモニタリングプロセスによって提供される成果物を確認するほか、FedRAMP 統制以外にも必要とされる機関特有のすべての統制が継続的に実施された証拠を確認します。詳細については、各機関の情報システムセキュリティのプログラムやポリシーを参照してください。
-
米国連邦の政府機関である場合、AWS との Interconnection Security Agreement (ISA) の締結が必要ですか?
FedRAMP PMO によれば、ISA は CSP と連邦政府機関との間での使用を意図したものではありません。
-
FedRAMP 特有の問題が関係する AWS のワークロードやアーキテクチャが社内にあり、サポートが必要な場合はどうしたらよいですか?
FedRAMP のコンプライアンス特有の質問については、AWS Artifact 内の AWS FedRAMP Partner Package を確認してください。FedRAMP や DoD のコンプライアンスに関してさらに質問がある場合は、awscompliance@amazon.com までお問い合わせください。AWS のワークロードやアーキテクチャのレビューや相談に関するサポートについては、販売担当者にお問い合わせください。
