FedRAMP
FedRAMP とは何ですか?
FedRAMP米国連邦機関が利用するクラウドサービスのセキュリティ評価、認可、継続的監視を標準化する米国政府のプログラム。
Federal Risk and Authorization Management Program(FedRAMP)は 2011 年に開始され、2022 年の FedRAMP Authorization Act によって法律として正式に位置付けられました。連邦機関に販売されるクラウドサービス提供(CSO)に対し、単一かつ再利用可能なセキュリティ認可を提供します。クラウド事業者は認定された第三者評価機関(3PAO)により、NIST SP 800-53 の Low/Moderate/High 各ベースラインに基づき評価され、Joint Authorization Board が発行する P-ATO または各機関の ATO を取得します。認可済みサービスは FedRAMP Marketplace に掲載され、継続的監視、月次の POA&M 更新、CISA への事故報告が義務付けられます。プログラムは GSA が運営し、OMB が監督することで重複監査を削減します。
● 例
- 01
SaaS ベンダーが、連邦機関に販売するため FedRAMP Moderate ATO の取得を目指す。
- 02
ある連邦機関が、既存の FedRAMP High P-ATO を再利用してクラウド型コラボレーションサービスを導入する。
● よくある質問
FedRAMP とは何ですか?
米国連邦機関が利用するクラウドサービスのセキュリティ評価、認可、継続的監視を標準化する米国政府のプログラム。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
FedRAMP とはどういう意味ですか?
米国連邦機関が利用するクラウドサービスのセキュリティ評価、認可、継続的監視を標準化する米国政府のプログラム。
FedRAMP からどのように防御しますか?
FedRAMP に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
FedRAMP の別名は何ですか?
一般的な別名: 連邦リスク認可管理プログラム。