今日の連邦セキュリティ基準を満たし、明日の課題に備える
連邦機関は、機密データ保護のための強力なソリューションを必要としています。Kiteworksは、FedRAMP中程度の認可と高い準備状況を持つことで、機関がコンプライアンスを維持しながら、ミッションクリティカルな情報を新たな脅威から保護することをサポートします。
Kiteworksが連邦セキュリティ体制を強化
Kiteworksは、2025年2月20日にSecure Gov CloudのFedRAMP高い準備状況を達成することで、連邦クラウドセキュリティ機能を強化しました。このマイルストーンは、2017年6月以来認可を維持しているFedRAMP中程度の認可を受けたFederal Cloudサービスに基づいています。高い準備状況の指定は、Kiteworksの強化されたセキュリティ機能が独立した評価者によって検証され、FedRAMP PMOによって承認されたことを示しています。この二層アプローチにより、Kiteworksは、CUIデータの取り扱いから、政府運営に深刻な影響を与える可能性のあるミッションクリティカルな情報の保護まで、さまざまなセキュリティニーズを持つ機関に対応することができます。
FedRAMPセキュリティ:最も機密性の高いコンテンツのための最大限のセキュリティ
KiteworksのFedRAMPは、すべての処理にAWSの仮想プライベートクラウド上に展開されています。専用サーバーを備え、Amazon Cloud上の他のすべての顧客から隔離されています。単一テナントにより、組織は唯一の暗号化キーの所有権を持ち、完全に暗号化されたファイルの保存と転送を提供します。Kiteworks、AWS、法執行機関のいずれもコンテンツにアクセスできません。KiteworksのFedRAMPは、FedRAMPの要件に従い、米国市民によって米国内でサポートされ、FedRAMP認証を維持するために毎年厳格な監査プロセスを受ける必要があります。
FedRAMPメンテナンス:最高レベルのセキュリティを維持するための継続的なテスト
FedRAMP認可は、「一度きり」のコンプライアンス要件からは程遠いものです。Kiteworksは、FedRAMPコンプライアンスを維持するために、毎年300以上のコントロールにわたる厳格な人事、IT、物理的セキュリティ監査を受けます。監査の合間には、Kiteworksのセキュリティチームが継続的な監視と脆弱性スキャンを行い、プラットフォームの安定性をテストし、確保します。これには、セキュリティプロセスと関連システムの評価の徹底的な文書化、積極的な修正と行動計画とマイルストーンによる調停追跡が含まれます。最後に、FedRAMP認可をサポートするKiteworksの従業員は、最新の要件に対応するために継続的なトレーニングと認証を受けます。
FedRAMPの利点 FedRAMP認可でさらに多くを実現
FedRAMP認可は、単なる認証やコンプライアンス要件以上のものです。政府機関はFedRAMP認可を受けたクラウドサービスプロバイダー(CSP)を使用する必要がありますが、民間部門では、FedRAMP認可を受けたファイル共有ソリューションを機密情報保護のベストプラクティスと見なしています。実際に、FedRAMP認可を受けたソリューションを使用する企業は、明確な競争優位性を得ることができます。なぜなら、機密コンテンツの共有にFedRAMP認可を受けたソリューションを使用することで、企業はステークホルダー(顧客、パートナー、従業員、取締役)に対してコンテンツセキュリティが最重要であることを示すからです。追加の利点もあります。KiteworksのようなFedRAMP認可を受けたファイル共有ソリューションを使用することで、NIST 800-171やITARのコンプライアンス要件を満たし、GDPR、SOC 2 (SSAE-16)、FISMA、FIPS 140-3、EARのコンプライアンスをサポートします。
Kiteworksは、コンプライアンスと認証の実績が豊富です。
よくある質問
FedRAMP認証は、クラウドサービスプロバイダー(CSP)が特定のセキュリティ基準を満たすことを保証するために、米国政府が作成したセキュリティ評価および認証プログラムです。FFedRAMPは、Federal Risk and Authorization Management Program(米国連邦政府によるリスクおよび認証管理プログラム)の略です。このプログラムは、連邦機関がCSPを評価、承認、監視するプロセスを標準化するために作成されました。
連邦機関や部門へのクラウドサービス提供を希望するクラウドサービスプロバイダーは、FedRAMP認証プロセスを経る必要があります。これには、Infrastructure-as-a-Service(IaaS)、Platform-as-a-Service(PaaS)、Software-as-a-Service(SaaS)プロバイダーが含まれます。連邦機関や部門へのサービス提供を希望するすべてのプロバイダーには、この認証プロセスが義務付けられています。認証は、Agency Authorization、JAB Authorization、DoD Impact Level Authorizationなど、複数の経路で取得可能です。FedRAMP認証プロセスは、連邦機関や部門とビジネスを行いたいクラウドサービスプロバイダーにとって必須であり、認証を取得しないと政府契約を失う可能性があります。
FedRAMP認証は、セキュリティ評価、文書化、認証を含む複数のステップからなるプロセスです。クラウドサービスプロバイダーがFedRAMP認証を取得するには、これらの3つのステップを完了する必要があります。FedRAMP認証プロセスにおける最も重要な3つの要素は以下の通りです
- FedRAMPのセキュリティ評価のステップでは、組織のセキュリティ態勢を明確にするため、すべてのシステムコンポーネントとそれぞれのセキュリティコントロールの実施状況を記録したシステムセキュリティ計画(SSP)を作成します。
- セキュリティ評価のステップでは、第三者評価機関(3PAO)がクラウドサービスプロバイダーのセキュリティコントロールとシステムを徹底的に評価します。
- 文書化のステップでは、クラウドサービスプロバイダーがFedRAMPセキュリティ基準への準拠を示すために、詳細な文書をFedRAMPプログラム管理オフィス(PMO)に提出します。最後に、認証ステップでは、政府がクラウドサービスプロバイダーに連邦機関へのサービス提供を許可します。
FedRAMP認証は、クラウドサービスプロバイダーが連邦機関にサービスを提供するプロセスを合理化し、作業の重複を減少させるとともに市場競争力を向上させます。また、FedRAMP認証により、連邦機関はクラウドサービスのセキュリティに対する信頼が高まり、データ侵害のリスクが軽減されます。さらに、FedRAMP認証は、クラウドサービスプロバイダーに対して、一貫性がありコスト効率の良いセキュリティ評価と認証のアプローチを提供します。FedRAMP認証を受けることで、CSPは米国政府の情報を保護する厳格なセキュリティおよびガバナンスプロセスを達成していることが証明され、市場での競争力をさらに高めることができます。
第三者評価機関(3PAO)は、FedRAMP認証プロセスにおいて重要な役割を果たします。この機関は、クラウドサービスプロバイダーのセキュリティコントロールとシステムを独立して評価し、FedRAMPセキュリティ基準を満たしているかどうかを判断します。評価後、第三者評価機関はその報告書を共同認証委員会(JAB)に提出します。JABは、このセキュリティ評価パッケージと3PAOの勧告をレビューし、CSPがFedRAMPの最低セキュリティ要件を満たしているかどうかを判断します。