米国のFedRAMP(Federal Risk and Authorization Management Program。クラウド製品・サービスの統一的なセキュリティ認証制度)は、2011年12月に公表された行政管理予算局(OMB)による「クラウドコンピューティング環境における情報システムのセキュリティ承認(Security Authorizations of Information Systems in Cloud Computing Environments)」というメモランダム(FedRAMPメモ)に基づき運用されていますが、運用開始から10年以上を経てアップデートの動きが出ています。
まず、2022年12月、2022年国防授権法の一環として、FedRAMP承認法(FedRAMP Authorization Act)が成立しました(44 U.S.C. §§3607-16)。主な内容としては、FedRAMPの追認、各機関の役割の明記、セキュリティアセスメント・レビューの自動化、Federal Secure Cloud Advisory Committee(FSCAC)の新設です。
そして、2023年10月、OMBから「連邦リスク承認管理プログラム(FedRAMP)を現代化する(Modernizing the Federal Risk Authorization Management Program (FedRAMP))」というメモランダムのドラフトが発表されました。主な内容としては、以下の通りです。
- IaaSだけでなく、SaaSにもフォーカス
- 連邦政府がコマーシャルクラウドを採用していくことを推進
- PMO(GSA内)とFedRAMP Boardの役割分担
- 対象は連邦政府情報(非機密情報)を扱うコマーシャルクラウドと政府機関間のshared service
- FedRAMP authorizationの十分性の推定(presumption)/ reusabilityの向上
- Security controlの選定・実装において脅威情報の活用
- FedRAMP Readyプログラムの充実
- セキュリティアセスメント・レビューの自動化(OSCALの使用)
- 継続的なモニタリング、プロバイダーによるサポート
- 脆弱性が発見された場合のエスカレーション手順
このメモランダムはパブコメ期間を経て2024年には確定する予定で、確定した場合には、2011年のFedRAMPメモは廃止されることとなっています。
ご参考になりましたら幸いです。
(Disclaimer:記載の情報には正確を期しておりますが、それを保証するものではありません。本投稿の利用による損害・損失には一切責任は負えませんのでご了承ください。)
