民間部門向けFedRAMP: FedRAMP準拠のプライベートクラウドが商業ビジネスにもたらすメリット
FedRAMPは、民間企業が米国連邦政府によって厳格なセキュリティ管理が認定されたクラウドソリューションを活用することを可能にします。この投稿ではその詳細を説明します。
FedRAMPとは何ですか?
FedRAMPは、連邦リスクおよび認証管理プログラムであり、米国連邦機関が使用するクラウド製品およびサービスのセキュリティ評価、認証、継続的な監視に対する標準化されたアプローチを提供する政府全体のプログラムです。これは、米国連邦機関が使用するクラウドサービスのリスクを軽減し、セキュリティを向上させることを目的としています。
FedRAMPは政府機関だけでなく、民間企業を含むあらゆる組織に適用されます。商業企業は、FedRAMPフレームワークを使用してセキュリティプロセスを簡素化し、認定された(最高レベルで精査された)クラウドソリューションを使用して機密情報を保存、処理、共有、管理することができます。さらに、FedRAMPは、民間組織がクラウドサービスのセキュリティをより効果的に管理するためのさまざまなツールとガイダンスを提供します。
FedRAMP準拠のソリューションを使用することで、政府請負業者や民間企業は、米国政府機関、顧客、パートナー、規制当局、その他の利害関係者と共有する機密情報を保護することへのコミットメントを示します。
FedRAMP準拠であることの意味
FedRAMP準拠は重要です。なぜなら、FedRAMPは連邦機関がクラウドサービスをスタッフが使用するために評価し、認証するための主要なシステムだからです。FedRAMP準拠になるには、厳格なセキュリティ要件とプロセスを満たす必要があります。メール、マネージドファイル転送(MFT)、セキュアファイル転送プロトコル(SFTP)、または他の通信チャネルであれ、FedRAMP準拠のファイル共有またはファイル転送ソリューションを使用することは、情報を処理、保存、共有する際に最高レベルのセキュリティを示すことを目指す組織にとって重要です。
FedRAMPガバナンス機関とは何ですか?
FedRAMPガバナンス機関は、クラウドベースのコンピューティング製品およびサービスのセキュリティとコンプライアンスを確保することで、連邦政府、民間部門、その他の組織に貴重なサービスを提供します。ガバナンス機関は、FedRAMPポリシーとガイダンスを開発し、セキュアなクラウド導入を推進し、政府全体での実施を調整し、FedRAMPベースラインを開発およびレビューし、ベースラインセキュリティ要件をレビューおよび承認し、情報、ガイダンス、および支援の情報源として機能します。
これらのガバナンス機関は、FedRAMP準拠のクラウドコンピューティングサービスのセキュリティに関する政府および他の組織への保証を提供し、クラウドに保存されているデータのプライバシー、整合性、および可用性を保護するのに役立ちます。これらのFedRAMPガバナンス機関には以下が含まれます:
- FedRAMPプログラム管理オフィス(PMO):このオフィスは、プログラムのガイダンス、ガバナンス、および監督を提供する責任を負っています。
- FedRAMP共同認証委員会(JAB):JABは、中程度の影響レベル以上のクラウドサービス提供を認証し、プログラムのポリシー、手順、およびガイダンスをレビューおよび承認する責任を負っています。
- 第三者評価機関(3PAO):これらの組織は、クラウドサービスプロバイダーの独立した評価を提供するためにJABによって認定されています。
- FedRAMPテイラードプログラム:このプログラムは、低影響レベルでクラウドサービスを使用するための認証を求める機関に対して、テイラードガイダンスと監督を提供します。
- FedRAMP監督管理評議会(FOMC):FOMCは、プログラムの成功を確保するためのガイダンスと監督を提供する責任を負っています。
- FedRAMPセキュリティ監視作業グループ(SMWG):この作業グループは、FedRAMP環境内でのセキュリティ監視に関連するガイダンスとベストプラクティスを提供する責任を負っています。
政府機関向けのFedRAMP
連邦政府全体でのクラウド導入を推進する「クラウドファースト」イニシアチブの一環として、連邦リスクおよび認証管理プログラム、またはFedRAMPが作成され、政府機関がクラウドソリューションのセキュリティ機能を迅速かつ厳格に、一貫して評価できるようにしました。
FedRAMP認定のクラウドソリューションとして、米国連邦機関は、Kiteworksのセキュアファイル共有およびガバナンスプラットフォームが、政府職員が機密情報に安全にアクセスし、共有するための優れたソリューションであることを公式に確認しています。
しかし、民間部門向けのFedRAMPは、商業企業もFedRAMP準拠のクラウドストレージソリューションを利用できることを意味し、したがって、政府機関が機密情報を保存および共有する際に持つのと同じレベルの制御、可視性、および信頼を活用できます。
Kiteworksは、コンプライアンスと認証の成果を長く誇っています。
民間部門向けのFedRAMP
多くの商業企業は政府機関と契約を結んでおり、情報を共有するためにFedRAMP認定のソリューションを使用することが強く推奨され、場合によっては義務付けられています。推奨されるか義務付けられるかにかかわらず、機密情報を共有するためにFedRAMP認定のソリューションを使用することはベストプラクティスです。
民間部門向けのFedRAMPは次のように見えます:ミサイルシステムの部品を製造する製造会社。この会社が国防総省と協力するためには、ITAR準拠でなければなりません。ITAR、または国際武器取引規則は、米国の国家安全保障を守るために、防衛および軍事関連技術の輸出を制限するために設立された規制です。ITAR違反は、高額な刑事または民事罰、将来の政府とのビジネスからの排除、極端な場合には投獄を招く可能性があります。非常に機密性の高い情報が共有されているため、DoDは情報が安全に共有および保存され、許可された人物のみがアクセスできることを確信する必要があります。
KiteworksプラットフォームがFedRAMP認定されているため、部品メーカーがそれを使用する選択は、DoDに対してデータセキュリティとプライバシーへの共通のコミットメントを示します。
しかし、民間部門向けのFedRAMPは、政府請負業者にのみ適用されるわけではありません。
民間部門向けのFedRAMPは次のようにも見えます:顧客が大容量のファイル、ログ、システムダンプをアップロードし、適切なフォルダーに割り当てられたケース番号を受け取ることができるグローバルサポートウェブポータルをホストする技術会社。このアップロード活動は、数十万の顧客デバイスが「ホームに電話し」、ファイルとシステムダンプを指定されたカスタマーサポートチームにアップロードするのと並行して行われます。任意の時点で、50〜100の同時接続が自家製ソリューション、共有ドライブ、FTPサーバーにデータの束をアップロードしています。要するに、多くの顧客データが生成され、共有され、保存されており、それはすべて最高レベルのセキュリティとコンプライアンスで行われる必要があります。
民間部門向けのFedRAMPは、この会社がこのデータのアップロードと保存を厳格なセキュリティ管理で処理することを保証します。KiteworksのFedRAMP準拠プラットフォームを採用してこれらのファイル転送を管理することで、データ漏洩の脅威を軽減し、顧客に対してセキュリティを真剣に考えていることを示すことができます。
どのような企業がFedRAMP準拠である必要がありますか?
連邦政府の情報を扱う、保存する、または送信する企業は、データまたはサービスの形であれ、FedRAMP認証を取得する必要があります。これには、クラウドサービスプロバイダー、Software-as-a-Service(SaaS)ベンダー、および連邦政府またはその請負業者パートナーにサービスを提供する他の組織が含まれます。FedRAMP準拠が必要な企業の例には、ITサービスプロバイダー、通信会社、ソフトウェア会社、医療機関、政府請負業者、教育機関が含まれます。
FedRAMP認証プロセス
FedRAMP認証プロセスは、クラウドサービスプロバイダー(CSP)がFedRAMPプログラム管理オフィス(PMO)にシステムセキュリティ計画(SSP)を提出することから始まります。PMOはSSPをレビューし、CSPのシステムの独立したセキュリティ評価を実施するFedRAMP PMO承認の第三者評価機関(3PAO)を割り当てます。3PAOが評価を完了すると、PMOは評価をレビューし、CSPに暫定または完全な運用許可(ATO)を提供します。
CSPはその後、継続的な監視フェーズを開始し、継続的なセキュリティ監視、脅威評価、およびシステムの一般的なセキュリティ状態を含みます。このフェーズでは、CSPはFedRAMPのセキュリティおよび監査成果物、システムセキュリティ計画、およびセキュリティポリシーの要件を遵守する必要があります。また、CSPはシステムの定期的なレビューを実施し、セキュリティリスクや脆弱性を特定し、対処する必要があります。
FedRAMP PMOはその後、CSPのセキュリティ成果物をレビューし、CSPがFedRAMPの要件を遵守していることを認証します。PMOがレビューを完了すると、CSPは継続的監視ATO(CM-ATO)を受け取ります。CSPがCM-ATOを受け取った後、CSPは完全なATOを申請することができ、これによりCSPは連邦機関にクラウドサービスを提供することができます。
FedRAMP認証プロセスは、連邦機関にクラウドサービスを提供するためにCSPが通過しなければならない厳格で必要な手続きです。システムセキュリティ計画の提出、セキュリティ評価の受け入れ、継続的な監視要件の遵守が含まれます。このプロセスに従うことで、CSPはシステムのセキュリティを確保し、連邦政府に自信を持ってサービスを提供することができます。
Kiteworksと民間部門向けのFedRAMP
民間部門向けまたは政府機関向けのFedRAMPが必要な場合でも、Kiteworksプラットフォームを使用する組織は、機密コンテンツを完全に制御できます。また、機密コンテンツがどこに保存されているか、誰がアクセスしているか、何が行われているかを完全に可視化できます。すべてのファイル活動は監査可能であり、さまざまな厳格な政府規制に対するコンプライアンスを示すことができます。
そして、FedRAMP認定のクラウドソリューションとして、KiteworksプラットフォームはNIST 800-171に記載されているすべてのセキュリティ要件を満たしています。
商業企業がKiteworksのFedRAMP中程度認定のセキュアファイル共有およびガバナンスソリューションを選択することで、パートナーや顧客に対してデータセキュリティが最優先事項であることを示します。そして、FedRAMP中程度の認定をセキュリティ管理のベースラインとして持つことは、商業企業に明確な競争優位性を提供します。それは、最高レベルのコンテンツセキュリティへのコミットメントです。
政府のクラウドファーストポリシーに準拠する必要がある場合でも、民間部門向けのFedRAMPについてもっと知りたい場合でも、KiteworksのFedRAMP認定セキュアファイル共有およびガバナンスプラットフォームが役立ちます。