FedRAMP

概要

米国連邦政府では、アメリカ国民に最も革新的、安全、かつコスト効率のよい方法でサービスを提供するよう尽力しています。クラウドコンピューティングは、連邦政府の運営を効率化し、国家全体で任務を推進するために必要な革新を実現するうえで重要な役割を担っています。現在、多くの連邦政府機関で、連邦政府のデータを処理、保存、および転送するために、AWS のクラウドサービスが使用されているのは、このためです。

• FedRAMP とは何ですか?

  Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認証、継続的監視に関する標準的なアプローチを提供しています。FedRAMP の関係省庁には、米国行政管理予算局 (OMB)、米国一般調達局 (GSA)、米国国土安全保障省 (DHS)、米国国防総省 (DoD)、米国国立標準技術研究所 (NIST)、連邦情報統括官 (CIO) 協議会があります。

  自社の製品やサービスを米国政府に提供したいクラウドサービスプロバイダーは、FedRAMP 準拠を立証する必要があります。FedRAMP では、NIST SP 800 シリーズを使用しており、クラウドサービスプロバイダーは、認証が連邦情報セキュリティマネジメント法 (FISMA) に準拠していることを保証するために、Third-Party Assessment Organization (3PAO) (第三者評価機関) が実施する独立したセキュリティ評価を受ける必要があります。詳細については、FedRAMP のウェブサイトをご覧ください。
  

• FedRAMP が重要なのはなぜですか?

  Cloud First ポリシーに対応して、米国行政管理予算局 (OMB) では FISMA の最初の政府間セキュリティ認証プログラムを確立するため FedRAMP Policy Memo を発行しました。FedRAMP はすべての米国連邦政府機関およびすべてのクラウドサービスに必須です。FedRAMP は、以下を向上させるために重要です。

  • NIST および FISMA 定義の標準を使用したクラウドソリューションのセキュリティの整合性と信頼性

  • 米国政府とクラウドプロバイダー間の透明性

  • オートメーションとほぼリアルタイムでの継続的監視

  • 評価と認証の再利用による安全なクラウドソリューションの導入
    

• FedRAMP コンプライアンスの要件はどのようなものですか?

  Cloud First ポリシーでは、連邦政府機関すべてに対し、クラウドサービスに対するセキュリティ評価、認証、継続的監視を実施する際に FedRAMP プロセスを使用するよう要求しています。FedRAMP の Program Management Office (PMO) (プログラム事務所) は FedRAMP コンプライアンスについて次の要件をまとめています。

  1. クラウドサービスプロバイダー (CSP) が、米国連邦政府機関から Agency Authority to Operate (ATO) を付与されている。または合同認定委員会 (JAB) から Provisional Authority to Operate (P-ATO) を付与されている。
  2. CSP が、NIST 800-53 Rev. 4 (影響レベルが中程度または高程度のセキュリティ統制ベースライン) に記載された FedRAMP のセキュリティ統制要件を満たしている。
  3. すべてのシステムセキュリティパッケージで、必須の FedRAMP テンプレートを使用する必要がある。
  4. CSP は第三者評価機関 (3PAO) の評価を受ける必要がある。
  5. 完成したセキュリティ評価パッケージを FedRAMP の安全なリポジトリに送信する必要がある。
     

• FedRAMP コンプライアンスのタイプにはどのようなものがありますか?

  CSP が FedRAMP に準拠するには以下の 2 つの方法があります。

  1.JAB からの認証

  FedRAMP 合同認定委員会 (JAB) の Provisional Authority to Operate (P-ATO) を受ける場合、CSP は、FedRAMP プログラム事務所 (PMO) による審査を受け、FedRAMP 公認 3PAO による評価を受けた後、JAB から P-ATO を付与されます。JAB は国防総省 (DoD)、国土安全保障省 (DHS)、一般調達局 (GSA) の最高情報責任者 (CIO) で構成されています。

  2.政府機関からの認証

  FedRAMP Agency Authority to Operate (ATO) を受ける場合、CSP は、お客様の機関の CIO または代理認証当局による審査を受け、FedRAMP Program Management Office (PMO) (プログラム事務所) により証明された FedRAMP 準拠 ATO を取得します。
  

• アマゾン ウェブ サービスは FedRAMP に準拠していますか?

  はい。AWS では以下の FedRAMP 準拠システムを利用できます。これらのシステムは、認証を付与されており、FedRAMP セキュリティ制御に対処済みであり (NIST SP 800-53 に基づく)、安全な FedRAMP リポジトリに送信されるセキュリティパッケージに必要な FedRAMP テンプレートを使用しており、公認の独立第三者評価機関 (3PAO) によって評価されており、FedRAMP の継続的監視の要件を維持します。

  AWS GovCloud (US) には、高程度影響レベルについての合同認定委員会の Provisional Authority-To-Operate (JAB P-ATO) と複数の Agency Authorizations (A-ATO) が付与されています。高ベースラインセキュリティカテゴリでの AWS GovCloud (米国) JAB P-ATO 境界の対象範囲内のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。

  AWS (米国東部/西部) には、高程度影響レベルについての合同認定委員会の Provisional Authority-To-Operate (JAB P-ATO) と複数の Agency Authorizations (A-ATO) が付与されています。中ベースラインセキュリティカテゴリでの AWS (米国東部/西部) JAB P-ATO 境界の対象範囲内のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。

• FedRAMP への準拠によって、利用中の AWS サービスはコストが上がりますか?

  いいえ。AWS の FedRAMP に準拠した後も、いずれのリージョンでもサービスのコストは上がりません。
  

• 対象となるのはどの AWS リージョンですか?

  2 つの別々の FedRAMP Agency ATO が発行されています。1 つは AWS GovCloud (米国) リージョンに適用されるものであり、もう 1 つは AWS 米国東部/西部リージョンに適用されるものです。

• 現在 AWS を使用している米国政府機関はありますか?

  はい。現在、2000 を超える政府機関および、政府機関にシステム統合ならびに他の製品やサービスを提供している他の事業者が、AWS の幅広いサービスを使用しています。AWS を使用している米国政府機関に関するケーススタディをご覧ください (米国国務省、米国食品医薬品局 (FDA)、米国疾病対策センター (CDC)、NASA/JPL の砂漠研究技術調査、NASA JPL および Amazon SWF、NASA/JPL の火星探査機キュリオシティプロジェクトなど)。すべてのケーススタディについては、AWS のお客様の導入事例のウェブページをご覧ください。AWS が政府の高いセキュリティ要件をどのように満たしているかについては、政府向け AWS ウェブページをご覧ください。
  

• どのサービスが対象ですか?

  すでに FedRAMP および DoD SRG の対象範囲内となっている対象 AWS サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。これらのサービスの使用方法またはその他のサービスの詳細に関心をお持ちの場合は、AWS の営業および事業開発までお問い合わせください。

• AWS の他のサービスを使用できますか?

  はい。お客様は、ワークロードが AWS の他のサービスに適しているかどうかを評価できます。セキュリティ制御とリスク受容の詳細な考慮事項については、AWS の営業および事業開発までお問い合わせください。

• 影響レベルが高程度のシステムを AWS に配置できますか?

  はい。お客様は、影響レベルが高程度のワークロードが AWS が適しているかどうかを評価できます。現在、FedRAMP が適用されるのは影響レベルが FISMA の低程度および中程度のクラウドコンピューティングシステムのみですが、AWS ではすでに多くの NIST 800-53 High 統制を満たしており、重要なワークロードをサポートするために NIST の中程度のベースラインを拡張して FISMA-High のアプリケーションやサービスを構築したいと考えているお客様向けに、AWS FISMA-High ワークブックを開発しました。セキュリティ統制とリスク受容の詳細な考慮事項については、AWS の営業および事業開発までお問い合わせください。

• AWS FedRAMP セキュリティパッケージはどこで入手できますか?

  AWS のお客様は FedRAMP PMO または担当の AWS セールスアカウントマネージャーを通じて AWS FedRAMP セキュリティパッケージへのアクセスをリクエストすることができます。

  米国政府機関のお客様は、Package Access Request Form に記入して info@fedramp.gov に送信するか、担当の AWS セールスアカウントマネージャーに問い合わせることで、FedRAMP PMO から AWS FedRAMP セキュリティパッケージへのアクセスをリクエストすることができます。

  AWS パートナーおよび新規のお客様は、AWS Artifact を使用して AWS Partner FedRAMP セキュリティパッケージへのアクセスをリクエストすることもできます。

• 各機関が AWS の FedRAMP 認証を活用するにはどうすればよいですか?

  政府機関の認証当局 (AO) は、AWS の FedRAMP 認証セキュリティパッケージを利用して関連文書を審査し、独自のリスクベースの判断に基づいて Agency Authority to Operate (ATO) を AWS に付与することができます。政府機関は、AWS に独自の ATO を発行する責任を担い、また、AWS ATO の対象に含まれないシステムコンポーネント全体の認証を行う責任を負います。不明点や詳細な情報については、担当の AWS セールスアカウントマネージャーにお問い合わせください。

• FedRAMP 認証の継続的監視はどのように行われますか?

  FedRAMP Concept of Operations (CONOPS) では、認証が与えられた後も、評価と認証のプロセスに従って CSP のセキュリティ状況が監視されます。FedRAMP 認証の再認証を毎年受けるには、CSP がセキュリティ統制を監視し、それらを定期的に評価して、提供しているサービスがセキュリティ要件を満たした状態が継続していることを実証する必要があります。FedRAMP の継続的監視プログラムを活用している連邦政府機関、および認証当局 (AO) と AO が指定したチームには、AWS の現在のコンプライアンスを確認する責任があります。継続的かつ定期的な活動として、AO と AO が指定したチームは、AWS の FedRAMP 継続監視プロセスによって作成された成果物を審査するほか、FedRAMP 統制以外にも機関固有の必要な統制が実装されていることの証拠を確認します。詳細については、各機関の情報システムセキュリティのプログラムやポリシーをご覧ください。
  

• 米国連邦の政府機関である場合、AWS との Interconnection Security Agreement (ISA) の締結が必要ですか?

  いいえ。FedRAMP PMO によれば、ISA は CSP と連邦政府機関の間での使用を意図したものではありません。
  

• FedRAMP 特有の問題が関係する AWS のワークロードやアーキテクチャが社内にあり、サポートが必要な場合はどうしたらよいですか?

  AWS FedRAMP セキュリティパッケージは、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できます。AWS マネジメントコンソールで AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。

  FedRAMP や DoD のコンプライアンスに関してさらに質問がある場合は、awscompliance@amazon.com に E メールをお送りください。