Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > 規制コンプライアンス > FedRAMP監査ログ [ベストプラクティス、ソリューション、ヒント]
FedRAMP監査ログ [ベストプラクティス、ソリューション、ヒント]

FedRAMP監査ログ [ベストプラクティス、ソリューション、ヒント]

by Frank Balonis updated 1月 25, 2025 規制コンプライアンス
Reading Time: < 1 minutes

連邦分野で働いている場合、あなたとあなたのサービスベンダーはFedRAMPに準拠している必要があり、それは監査ログを維持することを意味します。これらの監査ログは高価で時間がかかることがありますが、コンプライアンスを維持するためには必須です。

では、なぜFedRAMPコンプライアンスに監査ログが重要なのでしょうか?監査ログは、企業が監査中に規制機関や顧客に対してコンプライアンスを示すのに役立ちます。また、インシデント後のフォレンジック調査で事実確認を行う際にも役立ちます。

FedRAMPとは何か、そしてなぜ監査ログが重要なのか?

FedRAMPは、連邦機関と協力するクラウドプロバイダーのセキュリティを特に扱う連邦コンプライアンスフレームワークです。この定義の下で、「クラウドサービスプロバイダー」(CSP)は、ストレージやSoftware-as-a-Service(SaaS)アプリケーションを含むクラウド技術に関連するさまざまなサービスを提供する多くの企業を表すことができます。

FedRAMPコンプライアンスの重要な部分は監査です。CSPは、第三者のセキュリティ会社である第三者評価機関(3PAO)を通じて監査を受けます。3PAOは、FedRAMPの要件を理解し、CSPとそのコンプライアンスの旅全体を通じて協力する認定組織です。

3PAOの重要な役割は、CSPパートナーのテスト、監査、および評価を行い、以下の3つのことを確保することです(彼らがどの段階にいるかに応じて):

  1. CSPが認証プロセスを受ける準備ができていることを確認すること(FedRAMP Ready)
  2. CSPがテストと監査を成功裏に受け、認証を証明すること(運用許可またはATOと呼ばれる指定)
  3. CSPが認証後もコンプライアンスを維持し続けることを確認すること(継続的メンテナンス)

さらに、監査ログはFedRAMPの継続的なメンテナンスの必要な部分です:CSPはユーザーアクセス、侵害、またはデータに関連する他の項目のログを保持するだけでなく、扱うデータに応じて異なる範囲と規模でそれを行う能力を示さなければなりません。

この旅のすべての段階で、FedRAMP規制は3PAOに対して、セキュリティコントロールの変更、更新、および実装の詳細な状況を作成することを要求します。そして、連邦機関と協力している場合、サービスのために提携するCSPまたはサービスプロバイダーは、これらの最低要件を満たさなければなりません。これにはFedRAMPの監査も含まれます。

CSPは通常、顧客と継続的な3PAOの報告と監査を共有し、継続的なサイバーリスク管理戦略を保証します。

FedRAMP認証が必要な場合はいつですか?

FedRAMPは、連邦機関およびそのパートナーにサービスを提供するクラウドサービスプロバイダーからクラウドコンピューティングサービスを利用する予定のあるすべての機関または組織にとって必須の要件です。これには、制御されていない分類情報(CUI)を含む連邦データの処理、共有、または保存が含まれます。また、クラウドサービスを自社の内部目的で使用したい連邦機関にも必要です。

FedRAMPコンプライアンス要件とは何ですか?

FedRAMPコンプライアンスは、連邦リスクおよび認証管理プログラム(FedRAMP)で定義されたセキュリティ要件を満たすサービスを使用していることを機関が確認することを要求します。機関は、システムセキュリティ計画(SSP)を作成し、必要に応じて、認定された3PAO(第三者評価機関)からの運用許可(ATO)でサービスを認証する必要があります。

さらに、機関は、サービスプロバイダーがFedRAMPのセキュリティ要件に準拠した機能とコントロールを実装し、定期的なリスク評価を実施し、継続的な監視計画を実施することを確認する必要があります。さらに、機関は、サービスプロバイダーが最新のセキュリティコントロールを維持し、FedRAMPのテーラードベースライン標準の要件を満たしていることを確認する必要があります。最後に、機関は、サービスプロバイダーのセキュリティ状況を監視し、すべてのセキュリティ要件が一貫して満たされていることを確認する準備ができている必要があります。

FedRAMP監査コンプライアンス

FedRAMP監査コンプライアンスは、連邦政府にクラウドサービスを提供しようとするすべての組織にとって不可欠です。FedRAMPは、クラウドサービスプロバイダーがどのように運営すべきかについてのセキュリティ基準とガイダンスを提供するように設計されています。

FedRAMPに準拠するためには、組織はデータ保護、パスワード管理、セキュリティパッチ、システムバックアップなどの厳格なガイドラインに従わなければなりません。

FedRAMPコンプライアンスを達成するために必要な要件の一部を以下に示します:

  1. NISTサイバーセキュリティフレームワークの採用
  2. 情報システムセキュリティ計画の策定
  3. リスクと脆弱性の特定
  4. 包括的なシステム文書化
  5. リスクとインシデント対応計画
  6. 多要素認証の使用
  7. 暗号化技術の使用
  8. 定義されたユーザーロールと特権
  9. システムとネットワークの監視
  10. パッチ管理

FedRAMPコンプライアンスの主な目標は、リスクを軽減し、セキュリティを向上させ、連邦政府に提供されるすべてのクラウドサービスが最高のセキュリティ基準を満たすことを保証することです。

監査ログを作成、維持、保護する方法は?

どの企業にも「一律の」監査ソリューションはなく、ログの要件は必要なコントロールに基づいて異なります。

FedRAMPセキュリティコントロールとは何ですか?NIST SP 800-53は、CSPがコンプライアンスを示すために採用しなければならない一連のセキュリティコントロールを定義しています。FedRAMPに準拠しているベンダーと協力する場合、彼らは認可された影響レベルを広告します。

これらのコントロールはシステムに広く適用され、すべてのパートナーがすべての機能を実装する必要はありません。しかし、これらの機能の多くはセキュリティの重要な部分であり、クラウドプロバイダーはどのような作業を行ってもそれらを含めることがよくあります。実際、プロバイダーが基本的な影響要件を超えた高度な能力について話すことができる場合、それは彼らの信頼性の証です。

例えば、システムで「否認防止」を作成する方法はいくつかあります。否認防止とは、監査ログがユーザーまたはイベントに明確に結びつけられていることを要求し、ユーザーがそれが正しいことを否定できないようにすることです。これは通常、ログが作成された後に改ざんされていないことを保証する方法を含みます。

これらの方法の中には、他の方法よりも効果的なものがあります。デジタルハッシュ署名を使用して、ファイルが改ざんされていないことを示す方法がありますが、この方法は効果が限定的であり、効果を発揮するためにはハッシュキーの使用が必要です。この方法はまた、監査トレイルからログが欠落していないことを保証するのに必ずしも役立ちません。一部のプロバイダーは、否認防止の方法として新しいブロックチェーン技術を使用しています。

この特定のケースでは、CSPは3PAOと相談して、ログの否認防止方法が安全で効果的であり、FedRAMP規制の範囲内にあることを確認する必要があります。

とはいえ、パートナーベンダーは、いくつかの基本的な機能に沿って監査方法について話すことができるべきです。これには以下が含まれます:

  1. 監査目的に役立つ十分なデータを含むログを作成する。これには、データと時間、イベント記録、システム状態、ユーザーアクセス、その他の情報が含まれます。
  2. ログの生成、バックアップ、およびセキュリティを自動化する。システムが自動的にログを生成することは明らかに思えるかもしれませんが、CSPは安全で信頼性のあるログの冗長性計画も持っているべきです。
  3. 証拠の連鎖を効果的に利用して整合性を確保する。ハッシュ、ブロックチェーン、または他のツールを使用するかどうかにかかわらず、監査トレイルの整合性を保証するためのセキュリティ対策が常に存在するべきです。
  4. ベンダーのFedRAMP影響レベルを理解する。FedRAMPは、連邦情報処理規格(FIPS)の出版物を通じて、データのプライバシーに必要なレベルと、侵害された場合に発生する可能性のある損害に応じて、データの影響レベルを低、中、高に分けています。

FedRAMP監査ログのベストプラクティス

クラウドコンピューティングサービスのセキュリティを確保するためには、適切な監査ログの実践が実施され、監視される必要があります。このFedRAMP監査ログのベストプラクティスセットは、効果的な監査ログシステムを実装し、維持するために組織が取ることができる重要なステップを概説しています。

  1. 監査ポリシーを確立し、文書化する:すべての監査ログ要件を概説する監査ポリシーを開発し、文書化します。これには、ログに記録される情報と活動の種類、ログの頻度、ログファイルの保持期間、監査ログのセキュリティ、ログ分析と管理を担当する人物が含まれるべきです。
  2. ログシステムを実装する:必要なログデータを確実にキャプチャできる監査ログシステムを実装します。これには、ログの収集、保存、および転送プロセスが含まれます。
  3. 定期的なログレビューを実施する:監査ログが正しくキャプチャされていること、データが安全に保存されていることを確認するために定期的に監査ログをレビューします。異常があれば、データの整合性を確認するために調査する必要があります。
  4. 適切なセキュリティコントロールを使用する:監査ログを不正アクセス、改ざん、破壊から保護するために適切なセキュリティコントロールを利用します。可能であればデータを暗号化し、アクセスを許可された人員に制限します。
  5. インシデント対応計画を確立する:監査ログ関連のセキュリティインシデントを迅速かつ効果的に検出、調査、対応するためのインシデント対応計画を確立します。
  6. 人員を訓練する:監査ログとインシデント対応手順に関する訓練を人員に提供し、監査ログ関連の問題を特定し、対応するための準備を整えます。

Kiteworksの自動コンプライアンスログ

Kiteworksプラットフォームは、マネージドファイル転送(MFT)およびFedRAMP用SFTP、ファイルストレージ、FedRAMP用のセキュアメールツールの低および中程度の影響プロバイダーであり、連邦分野にエンタープライズグレードの革新をもたらします。Kiteworksは以下の分野での機能を提供します:

  1. セキュリティ:Kiteworksは、移動中および保存中の機密データに対する包括的な暗号化、組み込みおよび最適化されたネットワークファイアウォールとウェブアプリケーションファイアウォール(WAF)、アンチマルウェア技術、サーバーの多層強化、内部サービスとクラスター間のゼロトラスト通信、内部トリップワイヤーを含む多層防御アプローチを採用しています。Kiteworksは、セキュアなファイル共有暗号化メール、SFTP、マネージドファイル転送ウェブフォーム、またはアプリケーションプログラミングインターフェース(API)を通じて、機密ファイルをさまざまなチャネルで共有および転送することを可能にします。管理者は、セキュリティおよびコンプライアンスポリシーを強制し、MFAなどのセキュリティインフラストラクチャコンポーネントへの簡単な接続を構成するために、役割ベースのコントロールを使用します。Kiteworksの顧客は、スマートフォンを使用する際と同様に、ワンクリックで最新のパッチを適用して最新の状態を保ちます。
  2. コンプライアンス:連邦政府と協力している、または連邦政府内で働いているプロバイダーまたは機関であれば、Kiteworksを利用できます。Kiteworksは、サイバーセキュリティ成熟度モデル認証(CMMC)、NIST 800-171など、数多くの連邦基準に準拠しています。Kiteworksはまた、FedRAMPの低および中程度の影響に対してFedRAMP認可を受けており、アクセス制御、システムおよび情報の整合性、監査およびアカウンタビリティなどの重要なセキュリティ領域のコントロールを含んでいます。
  3. ガバナンスと可視性:Kiteworksは、FedRAMP準拠のログを生成、保存、保護し、CISOダッシュボードを通じて広範なガバナンスと包括的な可視性を提供します。前者には、IPアドレス範囲のブロックリストと許可リストを設定することによるジオフェンシングの強制、ユーザーデータを自国にのみ保存するための構成、コンプライアンス報告のための監査トレイル、アンチウイルスを通過または失敗したファイルの報告、データ損失防止、および高度な脅威対策が含まれます。CISOダッシュボードは、システムアクセス、データ転送、および潜在的な侵害をリアルタイムで監視します。内部トリップワイヤーや疑わしいデータ転送シナリオなどの潜在的な侵害イベントを自動的に警告します。そして、機密コンテンツの送信、共有、転送に関する情報を統合しようとしている組織に対して、Kiteworksの強化されたサーバーは不変のログを強制し、ログをセキュリティ情報およびイベント管理(SIEM)システムに自動的に転送します。
  4. プライベートクラウド:追加のセキュリティのために、各Kiteworksの顧客はプライベートクラウド環境に展開されており、クラウドサーバー上で唯一のテナントであるため、他のKiteworksの顧客のデータやメタデータと混在することはありません。最後に、各Kiteworksプライベートクラウドは、独自のAmazon Web Services(AWS)仮想プライベートクラウド(VPC)に展開されており、インフラストラクチャは他のAWSまたはKiteworksの顧客と共有されていません。

Kiteworksプラットフォームには、SOC 2証明、別々の仮想クラウドシステム、年次監査と継続的なテストを伴う広範な報告、不変の監査トレイルなどの高度なセキュリティ機能が含まれており、セキュリティとコンプライアンスを確保します。

今日Kiteworksを始めたい、またはKiteworksのFedRAMP認可に関する詳細を知りたい場合は、デモをリクエストするか、FedRAMP認可ページをご覧ください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks