惑わされないでください:「FedRAMP相当性」の空虚な主張がCMMCコンプライアンスを危険にさらす理由
2024年1月2日、国防総省(DoD)は、連邦リスク承認管理プログラム(FedRAMP)の同等性メモを発行しました。このメモは、クラウドサービスプロバイダー(CSP)のクラウドサービス提供におけるFedRAMP中程度の同等性に関する重要なガイダンスを提供します。メモは、FedRAMP中程度の同等性の具体的な要件を明確にしています。要するに、CSPはFedRAMPの最新の中程度のセキュリティコントロールに完全に準拠し、FedRAMP認定の第三者評価機関(3PAO)による評価を受けて、FedRAMP中程度の同等性を達成しなければなりません。
このメモを発行することで、DoDは、必要な要件を完了していないにもかかわらず「FedRAMP同等」と主張するCSPベンダーを抑制することを望んでいます。
CMMC認証プロセスは厳しいですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。
FedRAMP同等性とFedRAMP中程度認定の違い
FedRAMP中程度認定とFedRAMP同等性にはいくつかの重要な違いがあります。それぞれを詳しく見てみましょう。
FedRAMP中程度認定は、クラウドサービスプロバイダーが厳格な評価プロセスを経て、FedRAMP認定のCMMC第三者評価機関(C3PAOs)から運用認可(ATO)を受ける認証プロセスです。これは、サービスがFedRAMP中程度の要件を満たすセキュリティコントロールとプロセスを実施していることを示します。
対照的に、FedRAMP同等性とは、クラウドサービスプロバイダーがFedRAMP中程度と同等の厳格さを持つ認証を持っていることを意味しますが、実際にはFedRAMP認定を受けていないことを意味します。一般的な同等性には、ISO 27001、HITRUST CSF、DoD暫定認可などがあります。
FedRAMP中程度には、NIST SP 800-53に基づく325のセキュリティコントロールが定義されています。同等性認証には、FedRAMPに対応するために対処が必要なコントロールセットや厳格さの違いがあるかもしれません。そのため、FedRAMP同等性は基準を提供しますが、連邦政府での使用には完全なFedRAMP中程度認定の必要性を置き換えるものではありません。
FedRAMP同等性:防衛請負業者と下請け業者が知っておくべきこと
DFARS 7012は、請負業者がFedRAMP中程度認定と同等のセキュリティ要件を満たすクラウドサービスプロバイダーのみを利用することを義務付けています。FedRAMP中程度認定を達成することで、CSPはセキュリティ文書、レポート、および発見事項の是正に関する進捗を含む監査済みの証拠を提供します。FedRAMP認証プロセスは非常に厳格であり、DoDはこれをCMMCコンプライアンスのゴールドスタンダードと見なしています。
「同等」主張の危険性
CSPベンダーの「FedRAMP同等」クラウドサービスを提供するという曖昧な主張は、CMMCコンプライアンスを必要とする請負業者にとって問題となっています。繰り返しになりますが、FedRAMP同等性はFedRAMP中程度認定と同じではありません。
FedRAMP中程度認定は、強固なセキュリティコントロールの明確な証拠を提供しますが、多くのCSPは実際のFedRAMP評価を受けずに同等性を主張しています。適切な精査がなければ、これらの同等性の主張は、DFARS 7012およびCMMC要件の不遵守のリスクを大幅に増加させる可能性があります。ベンダーのFedRAMP同等性に関する言葉をそのまま受け入れることは、潜在的な監査の失敗や機密CUIへのサイバー脅威を招く可能性があります。
真のFedRAMP同等性の検証
DoDはメモの中で、FedRAMP中程度に対する同等性の意味を定義しました。これには以下が含まれます:
- FedRAMP中程度のコントロールベースラインへの100%の準拠
- DFARS 7012のサイバーインシデント/対応プロトコルの遵守
- セキュリティ評価計画/報告書を含む完全な文書を備えた認定3PAOによる評価
最終的に、請負業者がCMMCコンプライアンスを遵守したい場合、CSPの同等性の主張を検証するために、3PAO評価の証拠、セキュリティコントロールの文書、およびDFARS 7012の義務の確認を要求する必要があります。
Kiteworksと共にCMMCコンプライアンスを達成するためのサポート、真のFedRAMPパートナー
以前にFedRAMP中程度認定を取得したクラウドサービスを使用することで、請負業者はDFARS 7012およびCMMC要件を遵守し、機密データを保護し、表面的な同等性主張の一般的な落とし穴を避けることができます。
FedRAMP中程度認定は、請負業者にセキュリティコントロールの真の証拠を提供し、プログラムと情報を避けられるリスクにさらすことなく、調達を自信を持って迅速に進めることができます。
Kiteworksは2017年からFedRAMP中程度認定を受けており、政府機関、請負業者、民間企業が最高レベルのセキュリティ、コントロール、コンプライアンスで機密情報を共有および保存できるようにしています。
Kiteworksのプライベートコンテンツネットワークは、防衛請負業者がAES-256暗号化で静止データを保護し、TLS 1.3暗号化で移動中のデータを保護することを可能にします。組み込みのアンチウイルスとDLP、ATP、SSO、LDAP/AD、SIEM、MFAとのセキュリティ統合により、CUIをさらに保護します。
広範なガバナンスコントロールにより、組織は組織に出入りするファイルを完全に可視化できます。さらに、誰が何を誰にいつ送信したかを記録する包括的な監査ログにより、規制コンプライアンスがデータプライバシー規制やFedRAMP、CMMC、HIPAA、Cyber Essentials Plus、ITARなどの基準に準拠します。
FedRAMP認定CSPとして、Kiteworksはすべての処理をAWSの仮想プライベートクラウドに展開しています。専用サーバーを備え、Amazon Cloud上の他のすべての顧客から隔離されています。単一テナントにより、組織は唯一の暗号化キーの所有権を持ち、完全に暗号化されたファイルの保存と転送を実現します。Kiteworks、AWS、または法執行機関は、顧客のコンテンツにアクセスできません。
Kiteworks、FedRAMP中程度認定、およびCMMCコンプライアンスについて詳しく知るには、カスタムデモをスケジュールしてください。