FedRAMP 意見募集 境界に関するガイダンス Ver2.0案
こんにちは、丸山満彦です。
FedRAMPのガイドラインはいくつかでていますが、2018年5月に作成された「境界に関するガイダンス」の改訂案についての意見募集がでていますね。。。
● FedRAMP
・2021.07.14 (Blog) Requesting Public Comment on FedRAMP Authorization Boundary Guidance
・[PDF] FedRAMP Authorization Boundary Guidance
TABLE OF CONTENTS | 目次 |
Purpose | 目的 |
Key Federal Definitions and Requirements | 主要な連邦政府の定義と要件 |
1. Defining Your Authorization Boundary in the Cloud | 1. クラウドにおける権限の境界線の定義 |
2. Federal Data in the Cloud | 2. クラウドにおける連邦政府のデータ |
3. Federal Metadata in the Cloud | 3. クラウドにおける連邦政府のメタデータ |
4. Interconnections in the Cloud | 4. クラウドでの相互接続 |
5. External Services in the Cloud | 5. クラウド上の外部サービス |
6. Leveraging External Services with a FedRAMP Authorization | 6. FedRAMP認証を受けた外部サービスの活用 |
7. Corporate Services | 7. 企業向けサービス |
Data Requirements | データ要件 |
Additional Agency-Specific Security Requirements | 機関固有の追加セキュリティ要件 |
Appendix A: Guidance on Developing Authorization Boundary, Network and Data Flows Diagrams | 附属書A:認証境界図、ネットワーク・フロー図、データ・フロー図の作成に関するガイダンス |
Authorization Boundary Diagram (ABD) | 認可境界線図(ABD |
Network Diagram | ネットワーク図 |
Data Flow Diagrams (DFD) | データ・フロー・ダイアグラム(DFD |
Appendix B: Frequently Asked Questions | 附属書B:よくある質問 |
What is an authorization boundary and why is it important? | 認可境界とは何ですか、なぜそれが重要なのですか? |
Does a system that stores or processes federal data/metadata or sensitive system data, but is not directly connected to the boundary, need to be identified as an external system and/or service? | 連邦政府のデータ/メタデータまたは機密性の高いシステム・データを保存または処理するが、境界に直接接続されていないシステムは、外部システムおよび/またはサービスとして識別される必要があるか? |
How does FedRAMP define "corporate" services? | FedRAMPは「企業」サービスをどのように定義するか? |
Appendix C: Data Type Use Cases | 附属書C:データタイプの使用例 |
日本もISMAPという制度がありますが、このようなガイダンスもできる限りFedRAMPと合わせて、クラウド事業者の負担軽減も検討するとよいと思うんですよね。。。
ガイダンスやテンプレート等はこちら・・・
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表
Comments