米国 GAO 連邦認証プログラム（FedRAMP）の利用は増加しているが改善が必要なこともある (2024.01.18)

こんにちは、丸山満彦です。

GAOが、FedRAMP認可先は、増えているが、課題もある（６つ）...という話ですね。。。

1. 行政機関、CSP の意見：ステークホルダーからタイムリーな回答が得られなかったことがあった
2. 行政機関の意見：プロセスを十分に理解していない
3. 行政機関の意見：スポンサーに必要なリソース（資金や人員など）が不足している
4. CSPの意見：連邦政府のセキュリティ要件を満たすためにインフラを更新する必要がある
5. CSPの意見：行政機関のスポンサーを見つけることが困難
6. CSPの意見：クラウド・サービスの第三者評価を行う組織（3PAO）と連携する際に問題（一貫性の欠如など）があった

 

● U.S. Government Accountability Office

・2023.01.18 Cloud Security:Federal Authorization Program Usage Increasing, but Challenges Need to Be Fully Addressed

 

Cloud Security: Federal Authorization Program Usage Increasing, but Challenges Need to Be Fully Addressed	クラウドセキュリティ: 連邦認可プログラムの利用は増加しているが、課題に完全に対処する必要がある
GAO-24-106591	GAO-24-106591
Fast Facts	概要
The Office of Management and Budget established the FedRAMP program to authorize secure cloud services for federal use.	行政管理予算局は、連邦政府が利用する安全なクラウドサービスを認可するためにFedRAMPプログラムを設立した。
From 2019-23, agencies increased FedRAMP use—authorizations were up 60%. But some agencies reported using services that weren't FedRAMP-authorized. OMB still hasn’t fully implemented our previous recommendation to monitor program use.	2019年から23年にかけて、各省庁はFedRAMPの利用を増加させ、認可は60％増加した。しかし、一部の機関はFedRAMP認可を受けていないサービスを利用していると報告した。OMBはプログラムの利用を監視するという我々の以前の勧告をまだ完全に実施していない。
OMB is proposing new guidance that aims to help reduce the cost of pursuing FedRAMP authorizations. Some cost estimates are available and widely varied, but actual costs are unclear—so OMB may not have the information it needs for this effort. Our 3 recommendations address this and other issues.	OMBは、FedRAMP認可を追求するコストを削減することを目的とした新しいガイダンスを提案している。幾つかのコスト見積もりは入手可能であり、広く様々であるが、実際のコストは不明確であるため、OMBはこの取り組みに必要な情報を持っていない可能性がある。我々の3つの提言は、この問題やその他の問題に対処するものである。
Highlights	ハイライト
What GAO Found	GAOの発見事項
The Office of Management and Budget (OMB) established the Federal Risk and Authorization Management Program (FedRAMP) to provide a standardized approach for authorizing the use of cloud services. From July 2019 to April 2023, the 24 Chief Financial Officers (CFO) Act agencies increased the number of authorizations by about 60 percent. These authorizations covered services ranging from a basic computer infrastructure to a more full-service model that included software applications. OMB requires agencies to use FedRAMP. However, nine agencies reported they were using cloud services that were not FedRAMP authorized. OMB has not yet implemented GAO's recommendation to adequately monitor agencies' compliance with the program.	米行政管理予算局（OMB）は、クラウドサービスの利用を認可するための標準的なアプローチを提供するため、連邦リスク・認可マネジメント・プログラム（FedRAMP）を設立した。2019年7月から2023年4月にかけて、24の最高財務責任者（CFO）法に該当する機関は認可数を約60％増加させた。これらの認可は、基本的なコンピュータ・インフラから、ソフトウェア・アプリケーションを含むよりフルサービスなモデルまで、幅広いサービスを対象としていた。OMBは各行政機関にFedRAMPの利用を義務付けている。しかし、9つの機関がFedRAMPの認可を受けていないクラウドサービスを使用していると報告した。OMBは、政府機関のプログラム遵守を適切に監視するというGAOの勧告をまだ実施していない。
Selected agencies and cloud service providers (CSP) provided estimated costs when pursuing FedRAMP authorizations; data on actual costs were limited. The estimated costs varied widely and ranged anywhere from tens of thousands to millions of dollars. This was due, in part, to the agencies and CSPs using varying methods to determine costs. A contributing factor to the varying methods was that OMB did not provide guidance on authorization costs to be tracked and reported. The lack of consistent cost data will also hamper OMB in determining whether its goal of reducing FedRAMP costs will be achieved.	選ばれた行政機関とクラウド・サービス・プロバイダ（CSP）は、FedRAMP認可を追求する際の推定コストを提供したが、実際のコストに関するデータは限られていた。実際のコストのデータは限られていた。見積もりコストの幅は大きく、数万ドルから数百万ドルに及んだ。これは、各行政機関とCSPがコストを決定するために様々な方法を用いたことが一因である。OMBが、追跡・報告すべき認可コストに関するガイダンスを示さなかったことも、様々な方法が用いられた一因である。一貫したコスト・データがないことは、FedRAMPのコスト削減というOMBの目標が達成されるかどうかを判断する上でも障害となる。
The selected agencies and CSPs identified six key challenges that they faced in pursuing FedRAMP authorizations (see table).	選定された省庁と CSP は、FedRAMP 認可を進める上で直面した 6 つの主要な課題を特定した（表参照）。
Key Challenges Faced by Agencies and Cloud Service Providers (CSP) When Pursuing Federal Risk and Authorization Management Program (FedRAMP) Authorizations	連邦リスク・権限マネジメント・プログラム(FedRAMP)の認可を求める際に各省庁とクラウド・サービス・プロバイダー(CSP)が直面した主な課題
Challenges/Description	課題/内容
Receiving timely responses from stakeholders	関係者からのタイムリーな回答
Agencies and CSPs reported that they had issues with receiving timely responses from stakeholders throughout the authorization process.	行政機関および CSP は、認可プロセスを通じてステークホルダーからタイムリーな回答を得ることに問題があったと報告している。
Sponsoring CSPs that were not fully prepared	CSP が十分に準備していない
Agencies reported that CSPs did not fully understand the FedRAMP process and lacked complete documentation.	行政機関は、CSP が FedRAMP プロセスを十分に理解しておらず、完全な文書が不足していると報告した。
Lacking sufficient resources	スポンサーと認可機関に十分なリソースがない
Agencies reported that they lacked the resources (e.g., funding and staffing) needed to sponsor an authorization.	行政機関は、認可のスポンサーに必要なリソース（資金や人員など）が不足していると報告した。
Meeting FedRAMP technical and process requirements	FedRAMP の技術要件とプロセス要件
CSPs reported that they had to update the infrastructure to meet federal security requirements.	CSP は、連邦政府のセキュリティ要件を満たすためにインフラを更新する必要があると報告した。
Finding an agency sponsor	機関のスポンサーを見つける
CSPs reported that finding an agency sponsor was difficult.	CSP は、行政機関のスポンサーを見つけることが困難であると報告した。
Engaging with third-party assessment organizations (3PAO)	サードパーティ評価機関（3PAO）との連携
CSPs reported that they faced issues (e.g., lack of consistency) when engaging with organizations that were responsible for performing independent assessments of their cloud services—3PAOs.	CSP は、クラウド・サービスの第三者評価を行う組織（3PAO）と連携する際に問題（一貫性の欠如など）に直面したと報告した。
In acknowledging these challenges, OMB and the FedRAMP program management office in the General Services Administration (GSA) already have efforts underway to address them. For example, OMB released proposed new FedRAMP guidance for public comment in October 2023. GSA also intends to, among other things, issue guidance on meeting certain technical requirements. However, OMB and GSA have not finalized these guidance documents or announced a schedule for doing so. As a result, agencies and CSPs may continue facing challenges, leading to additional costs to pursue authorizations.	このような課題を認識し、OMBとGSA（一般調達庁）のFedRAMPプログラム管理オフィスは、すでにこの課題に対処するための取り組みを進めている。例えば、OMBは2023年10月に新しいFedRAMPガイダンス案を公表し、パブリックコメントを求めている。GSAもまた、とりわけ特定の技術的要件を満たすためのガイダンスを発行する意向である。しかし、OMBとGSAはこれらのガイダンス文書を最終決定しておらず、またそのためのスケジュールも発表していない。その結果、各省庁とCSPは引き続き課題に直面し、認可を追求するための追加コストが発生する可能性がある。
Why GAO Did This Study	GAOがこの調査を行った理由
OMB established the FedRAMP program in 2011. Managed by GSA, FedRAMP aims to ensure that cloud services have adequate information security while also reducing operational costs. To accomplish this goal, FedRAMP established a standardized process for authorizing CSPs' cloud services.	OMBは2011年にFedRAMPプログラムを設立した。GSAが管理するFedRAMPは、クラウドサービスが適切な情報セキュリティを確保しつつ、運用コストを削減することを目的としている。この目標を達成するため、FedRAMPはCSPのクラウドサービスを認可するための標準プロセスを確立した。
The James M. Inhofe National Defense Authorization Act for Fiscal Year 2023 includes a provision for GAO to review the status of the FedRAMP program. GAO's objectives were to identify (1) the frequency and types of services agencies have used under FedRAMP; (2) the amounts of costs incurred by selected agencies and CSPs in pursuing FedRAMP authorizations; and (3) the key challenges selected agencies and CSPs face in the authorization process and determine the extent to which GSA and OMB have taken actions to address them.	2023会計年度のジェームズ・M・インホフ国防認可法には、GAOがFedRAMPプログラムの状況をレビューする条項が含まれている。GAOの目的は、(1)各行政機関がFedRAMPの下で利用したサービスの頻度と種類、(2)FedRAMPの認可を追求する上で特定業生機関とCSPが負担したコスト額、(3)特定行政機関とCSPが認可プロセスで直面する主な課題と、GSAとOMBがそれらに対処するための措置をどの程度講じているかを特定することだった。
GAO analyzed questionnaire responses from six selected CFO Act agencies and 13 selected CSPs. GAO selected these agencies and CSPs based on several factors, including the number of authorizations agencies had sponsored, the authorization path used by the CSPs, and whether a CSP was a small business. GAO also reviewed GSA and OMB data and interviewed appropriate agency and CSP officials.	GAO は、6 つの CFO 法対象機関と 13 の CSP からのアンケート回答を分析した。GAO は、これらの機関と CSP を、行政機関がスポンサーとなった認可の数、CSP が使用した認可パス、CSP が中小企業であるかどうかなど、いくつかの要因に基づいて選定した。GAO はまた、GSA と OMB のデータをレビューし、適切な行政機関と CSP の担当者にインタビューを行った。
Recommendations	提言
GAO is making three recommendations, two to OMB and one to GSA, to finalize efforts to address challenges related to FedRAMP. GSA agreed with its recommendation and OMB did not comment on the recommendations.	GAOは、FedRAMPに関連する課題に対処する取り組みを最終化するため、OMBに2件、GSAに1件の合計3件の勧告を行う。GSA は勧告に同意し、OMB は勧告についてコメントしなかった。
Recommendations for Executive Action/	行政措置に関する勧告/影響を受ける機関
Agency Affected/Recommendation	影響を受ける機関/勧告
Office of Management and Budget	行政管理予算局
The Director of OMB, in collaboration with the FedRAMP PMO, should issue guidance to agencies to ensure that they consistently track and report the costs of sponsoring a FedRAMP authorization of cloud services. (Recommendation 1)	OMB長官は、FedRAMP PMOと協力して、各省庁がクラウドサービスのFedRAMP認可を後援するコストを一貫して追跡・報告できるようにするためのガイダンスを発行すべきである。(勧告1)
Office of Management and Budget	行政管理予算局
The Director of OMB should finalize and implement the proposed new FedRAMP guidance, to include addressing the challenges identified in this report. (Recommendation 2)	OMB長官は、本報告書で特定された課題への対応を含め、提案された新しいFedRAMPガイダンスを最終決定し、実施すべきである。(勧告2）
General Services Administration	一般調達庁
The Administrator of General Services should direct the Director of FedRAMP to develop a plan, including firm time frames, for issuing guidance on how CSPs can navigate the FIPS 140-3 cryptographic requirements. (Recommendation 3)	一般調達庁長官は、FedRAMP 長官に対し、CSP が FIPS140-3 暗号要件をどのように利用できるかについてのガイダンスを発行するための明確な期限を含む計画を策定するよう指示すべきである。(勧告 3）

 

 

・ [PDF] Full Report