FedRAMPセキュリティ: 最も機密性の高いコンテンツのための最大限のセキュリティ
KiteworksのFedRAMPは、すべての処理をAWSの仮想プライベートクラウド上で展開しています。専用サーバーを備え、Amazon Cloud上の他のすべての顧客から隔離されています。シングルテナントにより、組織は暗号化キーの所有権を独占し、完全に暗号化されたファイルの保存と転送を実現します。Kiteworks、AWS、法執行機関はコンテンツにアクセスできません。FedRAMPの要件に基づき、Kiteworksは米国内で米国市民によってサポートされ、FedRAMP認証を維持するためには毎年厳格な監査プロセスを経る必要があります。
FedRAMPメンテナンス: 最高レベルのセキュリティを維持するための継続的なテスト
FedRAMP認証は「一度きり」のコンプライアンス要件には程遠いものです。Kiteworksは、FedRAMPコンプライアンスを維持するために、毎年400の管理策を含む厳格な人事、IT、物理的セキュリティ監査を受けます。監査の合間には、Kiteworksのセキュリティチームがプラットフォームの安定性を保証するため、継続的な監視と脆弱性スキャンを行います。これには、セキュリティプロセスと関連システムの評価の徹底的な文書化、積極的な是正措置、行動計画とマイルストーンによる調停追跡が含まれます。また、FedRAMP認証をサポートするKiteworksの従業員は、常に最新の要件に適合するために継続的なトレーニングと認証を受けています。
FedRAMPのメリット: FedRAMP認証でさらに多くを実現
FedRAMP認証は、単なる認証やコンプライアンス要件以上のものです。政府機関はFedRAMP認可のクラウドサービスプロバイダー(CSP)を利用することが義務付けられていますが、民間企業は、FedRAMP認可のファイル共有ソリューションを機密情報保護のベストプラクティスと考えています。実際に、FedRAMP認証を受けたソリューションを使用する企業は、明確な競争優位性を得ています。それはなぜでしょうか?FedRAMP認証を受けたソリューションで機密コンテンツを共有することで、企業はそのステークホルダー(顧客、パートナー、従業員、役員)に対してコンテンツの安全性を最優先事項とする姿勢を明確に示します。さらなる利点もあります。例えば、KiteworksのようなFedRAMP認証を受けたファイル共有ソリューションを使用することで、NIST 800-171やITARのコンプライアンス要件の遵守はもちろん、GDPR、SOC 2 (SSAE-16)、FISMA、FIPS 140-2、EARといったコンプライアンスの遵守を支援します。
Kiteworksは、コンプライアンスと認証の実績が豊富です。
よくある質問
FedRAMP認証は、クラウドサービスプロバイダー(CSP)が特定のセキュリティ基準を満たすことを保証するために、米国政府が作成したセキュリティ評価および認証プログラムです。FFedRAMPは、Federal Risk and Authorization Management Program(米国連邦政府によるリスクおよび認証管理プログラム)の略です。このプログラムは、連邦機関がCSPを評価、承認、監視するプロセスを標準化するために作成されました。
連邦機関や部門へのクラウドサービス提供を希望するクラウドサービスプロバイダーは、FedRAMP認証プロセスを経る必要があります。これには、Infrastructure-as-a-Service(IaaS)、Platform-as-a-Service(PaaS)、Software-as-a-Service(SaaS)プロバイダーが含まれます。連邦機関や部門へのサービス提供を希望するすべてのプロバイダーには、この認証プロセスが義務付けられています。認証は、Agency Authorization、JAB Authorization、DoD Impact Level Authorizationなど、複数の経路で取得可能です。FedRAMP認証プロセスは、連邦機関や部門とビジネスを行いたいクラウドサービスプロバイダーにとって必須であり、認証を取得しないと政府契約を失う可能性があります。
FedRAMP認証は、セキュリティ評価、文書化、認証を含む複数のステップからなるプロセスです。クラウドサービスプロバイダーがFedRAMP認証を取得するには、これらの3つのステップを完了する必要があります。FedRAMP認証プロセスにおける最も重要な3つの要素は以下の通りです
- FedRAMPのセキュリティ評価のステップでは、組織のセキュリティ態勢を明確にするため、すべてのシステムコンポーネントとそれぞれのセキュリティコントロールの実施状況を記録したシステムセキュリティ計画(SSP)を作成します。
- セキュリティ評価のステップでは、第三者評価機関(3PAO)がクラウドサービスプロバイダーのセキュリティコントロールとシステムを徹底的に評価します。
- 文書化のステップでは、クラウドサービスプロバイダーがFedRAMPセキュリティ基準への準拠を示すために、詳細な文書をFedRAMPプログラム管理オフィス(PMO)に提出します。最後に、認証ステップでは、政府がクラウドサービスプロバイダーに連邦機関へのサービス提供を許可します。
FedRAMP認証は、クラウドサービスプロバイダーが連邦機関にサービスを提供するプロセスを合理化し、作業の重複を減少させるとともに市場競争力を向上させます。また、FedRAMP認証により、連邦機関はクラウドサービスのセキュリティに対する信頼が高まり、データ侵害のリスクが軽減されます。さらに、FedRAMP認証は、クラウドサービスプロバイダーに対して、一貫性がありコスト効率の良いセキュリティ評価と認証のアプローチを提供します。FedRAMP認証を受けることで、CSPは米国政府の情報を保護する厳格なセキュリティおよびガバナンスプロセスを達成していることが証明され、市場での競争力をさらに高めることができます。
第三者評価機関(3PAO)は、FedRAMP認証プロセスにおいて重要な役割を果たします。この機関は、クラウドサービスプロバイダーのセキュリティコントロールとシステムを独立して評価し、FedRAMPセキュリティ基準を満たしているかどうかを判断します。評価後、第三者評価機関はその報告書を共同認証委員会(JAB)に提出します。JABは、このセキュリティ評価パッケージと3PAOの勧告をレビューし、CSPがFedRAMPの最低セキュリティ要件を満たしているかどうかを判断します。