FedRAMP

概要

米国連邦政府では、アメリカ国民に最も革新的、安全、かつコスト効率のよい方法でサービスを提供するよう尽力しています。クラウドコンピューティングは、連邦政府の運営を効率化し、国家全体で任務を推進するために必要な革新を実現するうえで重要な役割を担っています。現在、多くの連邦政府機関で、連邦政府のデータを処理、保存、および転送するために、AWS のクラウドサービスが使用されているのは、このためです。

• FedRAMP とは何ですか?

  Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認証、継続的監視に関する標準的なアプローチを提供しています。FedRAMP の関係省庁には、米国行政管理予算局 (OMB)、米国一般調達局 (GSA)、米国国土安全保障省 (DHS)、米国国防総省 (DoD)、米国国立標準技術研究所 (NIST)、連邦情報統括官 (CIO) 協議会があります。

  自社のクラウドサービス (CSO) を米国政府に提供することを希望するクラウドサービスプロバイダー (CSP) は、FedRAMP 準拠を立証する必要があります。FedRAMP では NIST SP 800 シリーズを使用しており、クラウドサービスプロバイダーは、連邦情報セキュリティマネジメント法 (FISMA) に準拠した認証を受けていることを証明するために、Third-Party Assessment Organization (3PAO) (第三者評価機関) が実施する独立したセキュリティ評価を完了する必要があります。詳細については、FedRAMP のウェブサイトを参照してください。

• 何故 FedRAMP は重要なのですか?

  Cloud First ポリシー (現在の Cloud Smart Strategy) に対応して、米国行政管理予算局 (OMB) では、連邦情報セキュリティマネジメント法 (FISMA) に基づく政府規模のセキュリティ認証プログラムを施行するため、FedRAMP Policy Memo (現在の Federal Cloud Computing Strategy) を発行しました。FedRAMP は、すべての米国連邦政府機関およびすべてのクラウドサービスに必須です。FedRAMP の重要性は、次の事項を向上させることにあります。

  • 米国国立標準技術研究所 (NIST) および FISMA 定義の標準を使用したクラウドソリューションのセキュリティの整合性と信頼性
  • 米国政府とクラウドプロバイダー間の透明性
  • オートメーションとほぼリアルタイムでの継続的監視
  • 評価と認証の再利用による安全なクラウドソリューションの導入
    

• FedRAMP コンプライアンスの要件はどのようなものですか?

  Cloud First ポリシーでは、連邦政府機関すべてに対し、クラウドサービスに対するセキュリティ評価、認証、継続的監視を実施する際に FedRAMP プロセスを使用するよう要求しています。FedRAMP の Program Management Office (PMO) (プログラム事務所) は FedRAMP コンプライアンスについて次の要件をまとめています。

  1. クラウドサービスプロバイダー (CSP) は、米国連邦政府機関から運用機関 (ATO) として認可されていか、合同認定委員会 (JAB) から運用暫定機関 (P-ATO) として認可されています。
  2. CSP は、米国国立標準技術研究所 (NIST) 800-53 Rev. 4 (影響レベルが中程度または高程度のセキュリティ統制ベースライン) に記載された、FedRAMP のセキュリティ統制要件を満たします。
  3. すべてのシステムセキュリティパッケージでは、必須の FedRAMP テンプレートを使用する必要があります。
  4. CSP では、認定を取得した第三者評価機関 (3PAO) による評価を受ける必要があります。
  5. また、完成したセキュリティ評価パッケージを、FedRAMP の安全なリポジトリに送信する必要もあります。
     

• FedRAMP コンプライアンスにはどのような種類がありますか?

  クラウドサービスプロバイダー (CSP) が FedRAMP に準拠するには、以下の 2 つの方法があります。

  • 合同認定委員会 (JAB) の認定: FedRAMP JAB の運用暫定機関 (P-ATO) として認定を受ける場合、CSP はまず、FedRAMP 公認 3PAO による評価を受けます。その後 FedRAMP プログラム事務局 (PMO) による審査を通ると、JAB から P-ATO が付与されます。JAB は、国防総省 (DoD)、国土安全保障省 (DHS)、一般調達局 (GSA) からの最高情報責任者 (CIO) を集めて構成されています。
  • 機関認定: FedRAMP の運用認定機関 (ATO) の認定を受けようとする CSP は、お客様の機関の CIO または代理認証機関による審査を受けることで、FedRAMP プログラム事務局 (PMO) が証明する FedRAMP 準拠 ATO を取得できます。
    

• 各機関が AWS の FedRAMP 認証を活用するにはどうすればよいですか?

  連邦政府機関もしくは国防総省 (DoD) の組織は、クラウドでホスティングされるソリューションブロックを構築するために、AWS が提供するクラウドサービス (CSO) を活用することができます。AWS の各 CSO は、連邦機関ならびに DoD での使用が、FedRAMP および DISA により認可されています。これは、運用暫定機関 (P-ATO) としての認定書内で明記されています。各 CSP の CSO には、運用機関としての認定 (ATO) ではなく、P-ATO が与えられます。P-ATO は調達に先行する承認であり、連邦政府機関もしくは DoD の組織が CSO を使用できるようにします。連邦政府機関もしくは DoD の組織は、AWS の FedRAMP 認証セキュリティパッケージを活用することで、関連文書の審査、共有責任に関する詳細項目の確認、および ATO を付与する上でのリスクに基づく個別の決定を行えます。不明点や詳細な情報については、担当の AWS セールスアカウントマネージャーにお問い合わせください。

  政府機関の認証当局 (AO) は、AWS の FedRAMP 認証セキュリティパッケージを利用して、関連文書の審査や共有責任に関する詳細項目の確認を行い、独自のリスクベースの判断に基づいて、運用機関 (ATO) としての認定を AWS に付与することができます。政府機関は、AWS に独自の ATO を発行する責任を担い、また、システムコンポーネント全体の認証を行う責任を負います。不明点や詳細な情報については、担当の AWS セールスアカウントマネージャー、もしくはAWS の ATO チームにお問い合わせください。
  

• AWS は運用機関 (ATO) として認定されていますか?

  AWS は、クラウドサービス (CSO) を提供するクラウドサービスプロバイダー (CSP) です。AWS は、提供する CSO の連邦政府機関ならびに DoD での使用に関する認可を取得するため、CSP として FedRAMP の手続きに従っています。FedRAMP の手順では、CSP に運用機関 (ATO) としての認定が付与されることはなく、代わりに、運用暫定機関 (P-ATO) の認定が与えられます。P-ATO は調達に先行する承認であり、連邦政府機関もしくは DoD が CSO を使用できるようにします。連邦政府機関もしくは DoD では、独自の ATO を取得する目的でリスク管理フレームワーク (RMF) のプロセスを遂行する際に、P-ATO を使用しながらそれに関連して継承されている規制内容を適用します。AWS の P-ATO が ATO にアップグレードされることはない点にご注意ください。FedRAMP のプロセスでは、CSP に対し ATO は付与されません。ATO は、RMF プロセスの一環としてのみ発行されます。またこれらは、連邦政府機関もしくは DoD の認証担当官 (AO) から発行されるものです。FedRAMP に関する詳細については、FedRAMP ウェブサイトでご確認ください。
  

• FedRAMP はリスク管理フレームワーク (RMF) と比べ、どの点が異なりますか?

  FedRAMP は、クラウドサービスプロバイダー (CSP) が従うべき手順です。これにより、クラウドでホスティングされるシステム用にブロックを構築する連邦政府機関もしくは DoD での、クラウドサービス (CSO) の使用が許可されます。リスク管理フレームワーク (RMF) は、IT システムの運用許可を得るために、連邦政府機関もしくは DoD が従うプロセスです。FedRAMP プロセスは CSP のみを対象としたもので、また、CSP は RMF の対象とはなっていません。連邦政府機関もしくは DoD では、独自のクラウドサービス (例えば MilCloud) を作成する場合にのみ、FedRAMP のプロセスを遂行します。
  

• AWS は FedRAMP 以外からのサービス運用機関 (ATO) 認定をサポートしていますか?

  当社では、政府機関のお客様が独自の運用認定を発行する際には、既存の FedRAMP JAB ATO と認定パッケージを活用されることを推奨しています。
  

• アマゾン ウェブ サービスは FedRAMP に準拠していますか?

  はい。AWS では以下の FedRAMP 準拠の認証取得済みサービスを利用できます。これらは FedRAMP での (NIST SP 800-53 に基づく) セキュリティ制御に対処済みであり、安全な FedRAMP リポジトリに送信されるセキュリティパッケージに必要な FedRAMP テンプレートも適用されています。さらに、公認の独立第三者評価機関 (3PAO) による評価を受けており、FedRAMP の継続的監視の要件も満たしています。

  • AWS GovCloud (米国) には、高程度影響レベルについての合同認定委員会の Provisional Authority-To-Operate (JAB P-ATO) と複数の Agency Authorizations (A-ATO) が付与されています。高ベースラインセキュリティカテゴリでの AWS GovCloud (米国) JAB P-ATO 境界の対象範囲内のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。
  • AWS 米国東部/西部 (バージニア北部、オハイオ、オレゴン、北カリフォルニア) には、影響レベルが中程度の場合について、合同認定委員会からの運用暫定機関 (JAB P-ATO) の認定、および複数の政府機関認定 (A-ATO) が付与されています。中ベースラインセキュリティカテゴリでの AWS 米国東部/西部 JAB P-ATO 境界の対象範囲内のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。 

• FedRAMP への準拠によって、利用中の AWS サービスのコストは増えますか?

  いいえ。AWS の FedRAMP に準拠した後も、いずれのリージョンでもサービスコストの増加はありません。
  

• 対象となるのはどの AWS リージョンですか?

  2 つの別々の FedRAMP P-ATO が発行されています。1 つは AWS GovCloud (米国) に適用されるものであり、もう 1 つは AWS 米国東部/西部リージョンに適用されるものです。
  

• 現在 AWS を使用している米国政府機関はありますか?

  はい。政府機関にシステム統合、ならびに他の製品やサービスを提供している、2,000 を超える政府機関や他の事業者が、現在 AWS の幅広いサービスを使用しています。AWS を使用する米国政府機関での各事例については、AWS お客様導入事例のウェブページでご確認いただけます。AWS が政府の高いセキュリティ要件をどのように満たしているかについては、政府向け AWS のウェブページをご覧ください。
  

• 対象サービスには何がありますか? また、FedRAMP への準拠をどのように検証できますか?

  すでに FedRAMP および DoD SRG の対象範囲内となっている対象 AWS サービスについては、コンプライアンスプログラムによる AWS 対象範囲内のサービスを参照してください。FedRAMP または DoD SRG タブのいずれかをクリックすると、「✓」が付いたサービスは、FedRAMP JAB が AWS 米国東西部の FedRAMP ベースライン中程度の要件 (DoD SRG IL2 に続く) または AWS GovCloud (米国) の FedRAMP ベースライン高程度の要件 (DoD SRG IL2、IL4、および IL5 に続く) を十分に満たしていることを承認したことを示します。これらのサービスは、FedRAMP Marketplace で AWS サービスの説明の下に表示されています。サービスが「3PAO 評価」または「評価中」としてマークされている場合、それは未だに検証中であることを意味し、AWS は、FedRAMP による規制の実装またはメンテナンスを表明していません。「JAB 審査」もしくは「DISA 審査」としてマークされているサービスは、3PAO の評価が完了しており、現在、規制担当者の手元に渡されています。これらのサービスは AWS が実装したものであり、関連する FedRAMP 規制に関し環境に基づいた評価が実施されていますが、まだ JAB による承認は取得していません。これらのサービスの使用方法や、その他のサービスの詳細に関心をお持ちの場合は、AWS の営業および事業開発部門にお問い合わせください。
  

• 他の AWS のサービスを使用できますか?

  はい。お客様は、他の AWS のサービスに適しているかどうかについて、ワークロードを評価できます。セキュリティ制御とリスク受容の詳細な考慮事項については、AWS の営業および事業開発部門にお問い合わせください。

• 影響レベルが高程度のシステムを AWS に配置できますか?

  はい。お客様は、影響レベルが高程度のワークロードが AWS に適しているかどうかを評価できます。現在は、影響レベルが高程度のワークロードを AWS GovCloud (米国) に配置することができます。このリージョンでは、高程度の影響レベルに関し、合同認定委員会からの運用暫定機関 (JAB P-ATO) の認定が付与されています。
  

• AWS FedRAMP セキュリティパッケージにはどこからアクセスできますか?

  米国米国政府機関の職員ならびに提携業者は、Package Access Request Form に記入の上 info@fedramp.gov に送信することで、FedRAMP の PMO が提供している AWS FedRAMP セキュリティパッケージへのアクセスをリクエストできます。

  商用のお客様とパートナーは、AWS FedRAMP Partner Package へのアクセスをリクエストすることで、AWS が提供する機能を利用した構築や AWS で FedRAMP/DoD 準拠のサービスを設計する上での支援を含む、ガイダンスを入手できます。Partner Package は、AWS アカウントの AWS Artifactから見つけることができます。あるいは、AWS アカウントマネージャーにリクエストしても入手できます。
  

• 参照目的で使用される FedRAMP ID について教えてください。

  米国東部/西部の AWS リージョンの FedRAMP ID は、AGENCYAMAZONEW です。GovCloud (米国) AWS リージョンの FedRAMP ID は、F1603047866
  

• FedRAMP 認証の継続的監視はどのように行われますか?

  FedRAMP Concept of Operations (CONOPS) では、認証が与えられた後も、評価と認証のプロセスに従って CSP のセキュリティ状況が監視されます。FedRAMP 認証の再認証を毎年受けるには、CSP がセキュリティ統制を監視し、それらを定期的に評価して、提供しているサービスがセキュリティ要件を満たした状態が継続していることを実証する必要があります。FedRAMP の継続的監視プログラムを活用している連邦政府機関、および認証当局 (AO) と AO が指定したチームには、その時点における AWS のコンプライアンスを確認する責任があります。継続的かつ定期的な活動として、AO と AO が指定したチームは、AWS の FedRAMP 継続監視プロセスによって作成された成果物を審査するほか、FedRAMP 統制以外にも機関固有の必要な統制が実装されていることの証拠を確認します。詳細については、各機関の情報システムセキュリティのプログラムやポリシーをご覧ください。
  

• 合衆国の連邦政府機関である場合、AWS との相互接続保証契約 (ISA) の締結が必要になりますか?

  いいえ。FedRAMP の週間ヒントと手がかり – 2016 年 8 月 10 日によれば、ISA には、CSP と連邦政府機関の間での使用は求められていません。
  

• FedRAMP 特有の問題が関係する AWS のワークロードやアーキテクチャが社内にあり、サポートが必要な場合はどうしたらよいですか?

  AWS FedRAMP セキュリティパッケージは、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。

  FedRAMP や DoD のコンプライアンスに関する特定の質問がある場合は、AWS アカウントマネージャーにお問い合わせいただくか、AWS コンプライアンスお問い合わせフォームから FedRAMP コンプライアンスチームに連絡してください。
  

• FedRAMP に関連するコンプライアンスプログラムに関するその他の情報はどこにありますか?

  適用可能なコンプライアンスプログラムの詳細については、AWS コンプライアンスプログラムのウェブページを参照してください。また、連邦情報処理標準 (FIPS) 140-2、国防総省クラウドコンピューティングセキュリティ要求ガイド (DoD CC SRG)、連邦情報セキュリティマネジメント法 (FISMA)、および国立標準技術研究所 (NIST) に関する情報も入手していただけます。
  

• FedRAMP と政府による他のコンプライアンスプログラム (FISMA、DFARS、DoD SRG、NIST SP 800-171、FIPS 140-2) の間にはどのような関係がありますか?

  連邦政府の諸機関は、監察総監室 (OIG) による評価に加え、国土安全保障省 (DHS) から提供されるメトリクスを基にした内部的な評価を受けています。FISMA OIG と CIO メトリクスの基準は、NIST SP 800-53 に重きを置いた、NIST SP 800 の特別刊行物に示されています。FedRAMP は、CSP のセキュリティに依存する各機関にとってのコンプアインスプログラムです。これは、FISMA によるクラウドでの要件に準拠するために、NIST SP 800-53 規制のベースラインを基に構築されています。

  FedRAMP のコンプライアンスプログラムは DoD により活用されており、国防総省クラウドコンピューティングセキュリティ要求ガイド (DoD CC SRG)での各影響レベルに適合するために使用されています。これらのレベルにはともに、適切な暗号化制御のために FIPS 140-2 への準拠が求められます。国防省調達規則 (DFARS) は、管理された非機密情報 (CUI) を処理、保存、伝送する DoD の提携業者に対し、NIST SP 800-171 要求などの適切な一連のセキュリティ標準を満たすことを求めています。NIST SP 800-171 の中では、管理された非機密情報 (CUI) における機密性を保護するためのセキュリティ要求に関する推奨事項が、各機関のために定義されています。