FedRAMPの現代化に関するOMBメモランダム案

米国のFedRAMP(Federal Risk and Authorization Management Program。クラウド製品・サービスの統一的なセキュリティ認証制度)は、2011年12月に公表された行政管理予算局(OMB)による「クラウドコンピューティング環境における情報システムのセキュリティ承認(Security Authorizations of Information Systems in Cloud Computing Environments)」というメモランダム(FedRAMPメモ)に基づき運用されていますが、運用開始から10年以上を経てアップデートの動きが出ています。

 

まず、2022年12月、2022年国防授権法の一環として、FedRAMP承認法(FedRAMP Authorization Act)が成立しました(44 U.S.C. §§3607-16)。主な内容としては、FedRAMPの追認、各機関の役割の明記、セキュリティアセスメント・レビューの自動化、Federal Secure Cloud Advisory Committee(FSCAC)の新設です。

 

そして、2023年10月、OMBから「連邦リスク承認管理プログラム(FedRAMP)を現代化する(Modernizing the Federal Risk Authorization Management Program (FedRAMP))」というメモランダムのドラフトが発表されました。主な内容としては、以下の通りです。

  • IaaSだけでなく、SaaSにもフォーカス
  • 連邦政府がコマーシャルクラウドを採用していくことを推進
  • PMO(GSA内)とFedRAMP Boardの役割分担
  • 対象は連邦政府情報(非機密情報)を扱うコマーシャルクラウドと政府機関間のshared service
  • FedRAMP authorizationの十分性の推定(presumption)/ reusabilityの向上
  • Security controlの選定・実装において脅威情報の活用
  • FedRAMP Readyプログラムの充実
  • セキュリティアセスメント・レビューの自動化(OSCALの使用)
  • 継続的なモニタリング、プロバイダーによるサポート
  • 脆弱性が発見された場合のエスカレーション手順

このメモランダムはパブコメ期間を経て2024年には確定する予定で、確定した場合には、2011年のFedRAMPメモは廃止されることとなっています。

ご参考になりましたら幸いです。

 

 

(Disclaimer:記載の情報には正確を期しておりますが、それを保証するものではありません。本投稿の利用による損害・損失には一切責任は負えませんのでご了承ください。)