クラウドにおける FedRAMP について教えてください
FedRAMP AWS

米国連邦政府では、アメリカ国民に最も革新的、安全、かつコスト効率のよい方法でサービスを提供するよう尽力しています。連邦政府の運営をどれほど効率化し、国家全体での任務を推進するために必要な革新をどれほど実現できるかという点において引き続き重要な要素となっているのが、クラウドコンピューティングです。現在、多くの連邦政府機関で、連邦政府のデータを処理、保存、および転送するために、AWS の従量制クラウドサービスが使用されているのは、このためです。

govcloud_video

Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認証、および継続的なモニタリングに関する標準的なアプローチを提供しています。FedRAMP の関係省庁には、米国行政管理予算局 (OMB)、米国一般調達局 (GSA)、米国国土安全保障省 (DHS)、米国国防総省 (DOD)、米国国立標準技術研究所 (NIST)、連邦 CIO 協議会があります。

FedRAMP では、NIST SP 800 シリーズを使用しており、クラウドサービスプロバイダーは、認証が連邦情報セキュリティマネジメント法 (FISMA) に準拠していることを保証するために、Third-Party Assessment Organization (3PAO) (第三者評価機関) が実施する独立したセキュリティ評価を受ける必要があります。自社の製品やサービスを米国政府に提供したいクラウドプロバイダーは、FedRAMP 準拠を立証する必要があります。FedRAMP 要件の詳細については、www.FedRAMP.gov をご覧ください。

アマゾン ウェブ サービス (AWS) では、FedRAMP に準拠している次のシステムをご利用いただけます。

AWS GovCloud (US) は影響レベルが高程度の Joint Authorization Board の Provisional Authorization (JAB P-ATO) を付与されています。対象となるサービスは、EC2、EBS、IAM、S3、VPC です。

AWS US East-West は影響レベルが中程度の複数の Agency Authorizations が付与されています。対象となるサービスは、EC2、EBS、IAM、Redshift、S3、VPC です。

Cloud First ポリシーに対応して、米国行政管理予算局 (OMB) では FISMA の最初の政府間セキュリティ認証プログラムを確立するため FedRAMP Policy Memo を発行しました。FedRAMP はすべての米国連邦政府機関およびすべてのクラウドサービスに必須です。FedRAMP は、以下を向上させるために重要です。

  • NIST および FISMA 定義の標準を使用したクラウドソリューションのセキュリティの整合性と信頼性
  • 米国政府とクラウドプロバイダー間の透明性
  • オートメーションとほぼリアルタイムでの継続的なモニタリング
  • 評価と認証の再利用による安全なクラウドソリューションの導入。

Cloud First ポリシー では、連邦政府機関すべてに対し、クラウドサービスに対するセキュリティ評価、認証、継続的なモニタリングを実施する際に FedRAMP プロセスを使用するよう要求しています。FedRAMP プログラム事務所では、FedRAMP コンプライアンスのための 5 つの要件を説明しています。

1. クラウドサービスプロバイダー (CSP) は連邦政府機関により Authority to Operate (ATO) の承認を受ける。

2. CSP では、NIST 800-53、Rev. 4 (影響レベルが中程度のセキュリティ管理ベースライン) に沿って設定された FedRAMP のセキュリティ管理要件を満たす。

3. システムセキュリティパッケージすべてについて、要求される FedRAMP テンプレートを使用する必要がある。

4. CSP は独立した監査機関によって評価される。

5. 完成したセキュリティ評価パッケージは FedRAMP の安全なリポジトリに投稿される。

FedRAMP 要件

CSP が FedRAMP に準拠するには以下の 3 つの方法があります。

1. JAB Provisional Authorizations (JAB P-ATO) による方法

CSP が FedRAMP P-ATO による方法を選択した場合、FedRAMP PMO が確認し、FedRAMP から公認された 3PAO が評価した後、DHS、DOD、および GSA CIO が P-ATO を認証します。

2. Agency FedRAMP Authorizations (A-ATO) による方法

CSP が Agency Authorization による方法を選択した場合、お客様の Agency CIO または Delegated Authorizing Official が確認し、FedRAMP PMO が検証した後、FedRAMP 準拠 ATO が認証されます。

3. CSP がパッケージを提出する方法

CSP がパッケージを提出する方法を選択した場合、完成したセキュリティ評価パッケージは FedRAMP から公認された 3PAO により評価され、FedRAMP PMO に提出されます。

FedRAMP クラウドコンプライアンス

はい、AWS では以下の FedRAMP 準拠システムをご利用いただけます。これらのシステムは、認証を付与されており、FedRAMP セキュリティ制御に対処済みであり (NIST SP 800-53 に基づく)、安全な FedRAMP リポジトリに送信されるセキュリティパッケージに必要な FedRAMP テンプレートを使用しており、認定された独立の第三者評価機関 (3PAO) によって評価されており、FedRAMP の継続的モニタリング要件を維持します。

AWS GovCloud (US) には、高程度影響レベルの Joint Authorization Board の Provisional Authority-To-Operate (JAB P-ATO) と複数の Agency Authorizations (A-ATO) が付与されています。高ベースラインセキュリティカテゴリでの AWS GovCloud (米国) JAB P-ATO 境界の対象範囲内のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービス で確認できます。AWS GovCloud (US) で ATO を発行している認証機関の詳細なリストについては、FedRAMP Compliant Systems をご覧ください。

AWS US East-West には、中程度の影響レベルでの複数の Agency ATO が付与されています。AWS 米国東部/西部認証対象範囲内のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。AWS US East-West で ATO を発行している認証機関の詳細なリストについては、FedRAMP Compliant Systems をご覧ください。

いいえ。AWS が FedRAMP に準拠した結果としていずれかのリージョンでサービスのコストが増えることはありません。

2 つの別々の FedRAMP Agency ATO が発行されています。1 つは AWS GovCloud (米国) リージョンに適用されるものであり、もう 1 つは AWS 米国東部/西部リージョンに適用されるものです。

はい。現在、多くの政府機関や、政府機関にシステム統合、および他の製品やサービスを提供している他の事業者が、AWS の幅広いサービスを使用しています。

FIPS AWS
CJIS AWS
FERPA AWS
DoD AWS
すでに FedRAMP および DoD SRG の対象範囲内となっている対象 AWS サービスは、 コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。これらのサービスの使用方法またはその他のサービスの詳細に関心をお持ちの場合は、 AWS の営業および事業開発までお問い合わせください。

はい。お客様は、ワークロードが AWS の他のサービスに適しているかどうかを評価できます。セキュリティ統制とリスク受容の詳細な考慮事項については、AWS の営業および事業開発までお問い合わせください。

はい。お客様は、影響レベルが高程度のワークロードが AWS が適しているかどうかを評価できます。現在、FedRAMP が適用されるのは影響レベルが FISMA の低程度および中程度のクラウドコンピューティングシステムのみですが、AWS ではすでに多くの NIST 800-53 High 統制を満たしており、重要なワークロードをサポートするために NIST の中程度のベースラインを拡張して FISMA-High のアプリケーションやサービスを構築したいと考えているお客様向けに、AWS FISMA-High ワークブックを開発しました。セキュリティ統制とリスク受容の詳細な考慮事項については、AWS の営業および事業開発までお問い合わせください。

AWS のお客様は、連邦および DoD のセキュリティガイドラインに沿ってデータを保護するために、幅広いセキュリティ機能をご利用いただけます。AWS では、お客様に提供する既存のセキュリティツールのテストを継続的に繰り返しており、既存のセキュリティ機能の強化を定期的にリリースしています。クラウド内でデータを保護するための詳細情報とソリューションについては、以下の AWS セキュリティガイドを参照してください。

AWS のお客様は FedRAMP PMO または担当の AWS セールスアカウントマネージャーを通じて AWS FedRAMP セキュリティパッケージへのアクセスをリクエストすることができます。

米国政府機関のお客様は、Package Access Request Form に記入して info@fedramp.gov に送信するか、担当の AWS セールスアカウントマネージャーに問い合わせることで、FedRAMP PMO から AWS FedRAMP セキュリティパッケージへのアクセスをリクエストすることができます。

また、AWS のパートナーと見込み客は、担当の AWS セールスアカウントマネージャーを通じて AWS パートナー FedRAMP セキュリティパッケージへのアクセスをリクエストすることができます。

Agency Authoring Official (AO) は AWS の任意の FedRAMP 認証セキュリティパッケージを利用して、関連ドキュメントを見直し、Agency Authorization (ATO) を AWS に付与する意思決定を自身のリスクベースで行うことができます。エージェンシーは AWS で独自の ATO を発行する責任を担い、また AWS A-ATO の対象に含まれてないシステムコンポーネントの全体的な認証の責任を負っています。AWS の責任共有モデルの詳細については、AWS セールスアカウントマネージャーにお問い合わせください。

AWS で利用できるセキュリティ機能やベンダーのエコシステムを使用することにより、セキュリティ、プライバシー、エンタープライズのリスク管理に関する該当機関のポリシーが組み込まれた適切なシステムの構築を管理およびモニタリングできます。

AWS のお客様、パートナー、およびシステムインテグレータが AWS によって得たメリットについてお読みください。

ブログ

Appian Cloud では、アマゾン ウェブ サービスのインフラストラクチャと FedRAMP 認証を活用しています。続きを読む

AWS 導入事例

米国国務省

米国食品医薬品局 (FDA)

米国疾病予防管理センター (CDC)

NASA/JPL の Desert Research and Training Studies

NASA JPL と Amazon SWF

NASA/JPL の Mars Curiosity Mission

AWS コンプライアンス

FedRAMP Concept of Operations (CONOPS) では、一度、認証が与えられると CSP のセキュリティ状況が、評価および認証プロセスに従って監視されます。FedRAMP Authorization の再認証を毎年受けるには、CSP がセキュリティ統制を監視し、それらを定期的に評価して、提供しているサービスのセキュリティ状況が継続的に要件を満たしていることを実証する必要があります。FedRAMP の継続的なモニタリングプログラムを活用している連邦政府機関、および Authorizing Officials (AO) と AO が指定したチームには、AWS の現在のコンプライアンスを確認する責任があります。AO と AO が指定したチームは、AWS FedRAMP の継続的なモニタリングプロセスによって提供される成果物を確認するほか、FedRAMP 統制以外にも必要とされる機関特有のすべての統制が継続的に実施された証拠を確認します。詳細については、各機関の情報システムセキュリティのプログラムやポリシーを参照してください。

FedRAMP PMO によれば、ISA は CSP と連邦政府機関との間での使用を意図したものではありません。詳細については、FedRAMP PMO ウェブサイトを参照してください。

FedRAMP のコンプライアンス特有の質問については、AWS Artifact 内の AWS FedRAMP Partner Package を確認してください。FedRAMP や DoD のコンプライアンスに関してさらに質問がある場合は、awscompliance@amazon.com までお問い合わせください。AWS のワークロードやアーキテクチャのレビューや相談に関するサポートについては、販売担当者にお問い合わせください。

 

お問い合わせ