StateRAMPはFedRAMPの州政府、自治体版？

こんにちは、丸山満彦です。

米国では、StateRAMPという非営利団体が、州政府向けにFedRAMPのようなサービスを提供するようですね。。

StateRAMPのしくみは...

1. クラウドサービスプロバイダー（CSP）が州政府のサイバーセキュリティポリシーを満たしていることを検証するためのメカニズムを州政府に提供するプラットフォーム。
   
   
2. 州が安全でないクラウドソリューションによるサイバーリスクを軽減し、データを保護するのに役立つ。
   FedRAMPと同様に、クラウドアプリケーションのサイバー対応を検証するための標準化されたアプローチを提供し、サイバーセキュリティプロセスを簡素化する。
   
   
3. CSPのセキュリティステータスを保存、維持、公開し、州政府や自治体に、ステータスの更新やコンプライアンスの変更とともにCSPサイバーセキュリティ認定にアクセスするためのソースを提供する。

ということのようですね。。。

● StateRAMP

評価のための文章

・Resources - Documents

2021.01.08	StateRAMP Security Assessment Framework (Ver1.2)	This document provides a summary of the objectives, goals, and governance approach of StateRAMP, along with an outlined methodology to verify cloud security.
2020.12.08	StateRAMP Proposed Bylaws	This framework for bylaws was developed by the StateRAMP Steering Committee. As the Board of Directors is formed in late 2020, one of their first actions will be to adopt the bylaws for the organization.

 

StateRAMP Security Assessment Framework (Ver1.2)の目次は、、、

↓↓↓↓↓

・StateRAMP Security Assessment Framework (Ver1.2)

Table of Contents	目次
DOCUMENT REVISION HISTORY	ドキュメント改訂の歴史
EXECUTIVE SUMMARY	エグゼクティブ・サマリー
1. STATERAMP OVERVIEW	1. StateRAMPの概要
1.1 PURPOSE	1.1 目的
1.2 PILOT PROGRAM	1.2 パイロットプログラム
1.3 APPLICABLE STANDARDS AND GUIDANCE	1.3 適用される基準と指針
1.4 GOVERNANCE & STAKEHOLDERS	1.4 統治と利害関係者
1.4.1 BOARD OF DIRECTORS	1.4.1 取締役会
1.4.2 STANDARDS & TECHNICAL COMMITTEE	1.4.2 標準・技術委員会
1.4.3 APPEALS COMMITTEE	1.4.3 上訴委員会
1.4.4 CORPORATE COMMUNITY COMMITTEE	1.4.4 企業コミュニティ委員会
1.4.5 PROGRAM MANAGEMENT OFFICE	1.4.5 プログラム管理室
1.4.6 STATE AND LOCAL GOVERNMENTS	1.4.6 州政府および地方自治体
1.4.7 THIRD PARTY ASSESSMENT ORGANIZATIONS	1.4.7 第三者評価機関
1.4.8 CLOUD SERVICE PROVIDERS	1.4.8 クラウドサービスプロバイダー
2. STATERAMP REQUIREMENTS	2. StateRAMPの要求事項
2.1 AUTHORIZATION PATH	2.1 認可方法
2.2 MARKETPLACE	2.2 マーケットプレイス
2.3 USING A PROVIDER NOT LISTED ON MARKETPLACE	2.3 マーケットプレイスに掲載されていないプロバイダーの使用
3. STATERAMP SECURITY ASSESSMENT FRAMEWORK	3. StateRAMP セキュリティ評価フレームワーク
3.1 DOCUMENT	3.1 文書
3.1.1 SELECT SECURITY CONTROLS	3.1.1 セキュリティ統制の選択
3.1.2 IMPLEMENT SECURITY CONTROLS	3.1.2 セキュリティ管理の実施
3.1.3 SYSTEM SECURITY PLAN	3.1.3 システムセキュリティ計画
3.2 ASSESS	3.2 アセス
3.2.1 THIRD PARTY ASSESSMENT ORGANIZATIONS	3.2.1 第三者評価機関
3.2.2 COMPLETE THE READINESS ASSESSMENT PLAN	3.2.2 準備評価計画の完成
3.2.3 COMPLETE THE SECURITY ASSESSMENT PLAN	3.2.3 セキュリティ評価計画の完成
3.3 AUTHORIZE	3.3 認可
3.3.1 ANALYSIS OF RISKS FOR AUTHORIZATION	3.3.1 認可のリスク分析
3.3.2 PLAN OF ACTION AND MILESTONES	3.3.2 行動計画とマイルストーン
3.3.3 SUBMISSION OF A SECURITY PACKAGE FOR AUTHORIZATION	3.3.3 認可のためのセキュリティパッケージの提出
3.3.4 RECOGNITION OF STATUS	3.3.4 ステータスの再認識
3.3.5 LEVERAGING STATERAMP SECURITY PACKAGES	3.3.5 セキュリティ・パッケージの強化
3.3.6 REVOKING A STATUS	3.3.6 ステータスの取り消し
3.4 MONITOR	3.4 監視
3.4.1 OPERATIONAL VISIBILITY	3.4.1 動作可視性
3.4.2 CHANGE CONTROLS	3.4.2 変更制御
3.4.3 INCIDENT RESPONSE	3.4.3 インシデント対応
APPENDIX A: STATERAMP SECURITY CONTROLS BASELINE SUMMARY	付録A: StateRAMP セキュリティ統制のベースライン要約
APPENDIX B: MINIMUM MANDATORY REQUIREMENTS FOR READY STATUS	付録B：準備完了テータスのための最低限の必須要件
APPENDIX C: SAMPLE RFP OR CONTRACTUAL LANGUAGE FOR STATES	付録C：州政府のためのRFP、契約書サンプル。
APPENDIX D: DATA CLASSIFICATION TOOL	付録D. データ分類ツール
APPENDIX E: TERMINOLOGY	付録E: 用語解説
APPENDIX F: FREQUENTLY ASKED QUESTIONS	付録F: よくある質問

付録F：よくある質問