« 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」 | Main | 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開 »

2021.07.16

FedRAMP 意見募集 境界に関するガイダンス Ver2.0案

こんにちは、丸山満彦です。

FedRAMPのガイドラインはいくつかでていますが、2018年5月に作成された「境界に関するガイダンス」の改訂案についての意見募集がでていますね。。。

 

FedRAMP

・2021.07.14 (Blog) Requesting Public Comment on FedRAMP Authorization Boundary Guidance

・[PDF] FedRAMP Authorization Boundary Guidance

20210715-171224

 

TABLE OF CONTENTS 目次
Purpose  目的 
Key Federal Definitions and Requirements  主要な連邦政府の定義と要件 
1. Defining Your Authorization Boundary in the Cloud  1. クラウドにおける権限の境界線の定義 
2. Federal Data in the Cloud  2. クラウドにおける連邦政府のデータ 
3. Federal Metadata in the Cloud  3. クラウドにおける連邦政府のメタデータ 
4. Interconnections in the Cloud  4. クラウドでの相互接続 
5. External Services in the Cloud  5. クラウド上の外部サービス 
6. Leveraging External Services with a FedRAMP Authorization  6. FedRAMP認証を受けた外部サービスの活用 
7. Corporate Services  7. 企業向けサービス 
Data Requirements  データ要件 
Additional Agency-Specific Security Requirements  機関固有の追加セキュリティ要件 
Appendix A: Guidance on Developing Authorization Boundary, Network and Data Flows Diagrams  附属書A:認証境界図、ネットワーク・フロー図、データ・フロー図の作成に関するガイダンス 
Authorization Boundary Diagram (ABD)  認可境界線図(ABD 
Network Diagram  ネットワーク図 
Data Flow Diagrams (DFD)  データ・フロー・ダイアグラム(DFD 
Appendix B: Frequently Asked Questions  附属書B:よくある質問 
What is an authorization boundary and why is it important?  認可境界とは何ですか、なぜそれが重要なのですか?
Does a system that stores or processes federal data/metadata or sensitive system data, but is not directly connected to the boundary, need to be identified as an external system and/or service? 連邦政府のデータ/メタデータまたは機密性の高いシステム・データを保存または処理するが、境界に直接接続されていないシステムは、外部システムおよび/またはサービスとして識別される必要があるか?
How does FedRAMP define "corporate" services? FedRAMPは「企業」サービスをどのように定義するか?
Appendix C: Data Type Use Cases 附属書C:データタイプの使用例

 

日本もISMAPという制度がありますが、このようなガイダンスもできる限りFedRAMPと合わせて、クラウド事業者の負担軽減も検討するとよいと思うんですよね。。。

ガイダンスやテンプレート等はこちら・・・

 

DOCUMENTS & TEMPLATES

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

|

« 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」 | Main | 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」 | Main | 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開 »