米国 FedRAMP 意見募集 ペネトレーション・テスト・ガイダンス Version 4.0（案） (2024.03.04)

 こんにちは、丸山満彦です。

米国連邦政府のクラウド認証といえば、FedRAMP。日本もこれを参考にISMAPの制度をつくりましたね...

FedRAMPの2015年に策定された「ペネトレーション・テスト・ガイダンス」ですが、改訂を重ねて、2022年に現在のVersion 3.0となり、今回Version 4.0のドラフトが公開され、意見募集されています。

このガイドを理解するためには、以下の文章も参照にするとよいですね...

• NIST SP 800-115 (Current Revision)Technical Guide to Information Security Testing and Assessment
• NIST SP 800-145 (Current Revision) The NIST Definition of Cloud Computing
• NIST SP 800-53 (Current Revision) Security and Privacy Controls for Information Systems and Organizations
• NIST SP 800-53A (Current Revision) Assessing Security and Privacy Controls in Federal Information Systems and Organizations

ということで...

● FedRAMP - Blog

・2024.03.04 Penetration Test Guidance Public Comment Period

ということで...

Penetration Test Guidance Public Comment Period	ペネトレーション・テスト・ガイダンスのパブリック・コメント期間
FedRAMP is seeking feedback on the draft FedRAMP Penetration Test Guidance. The original guidance provides requirements for organizations planning to conduct a FedRAMP penetration test to identify weaknesses in their IT system, as well as the associated attack vectors and overall reporting requirements.	FedRAMP は FedRAMP ペネトレーション・テスト・ガイダンスのドラフトに対する意見を求めている。オリジナルのガイダンスは、IT システムの弱点を特定するために FedRAMP ペネトレーション・テストの実施を計画している組織に対する要件、関連する攻撃ベクトル、および全体的な報告要件を規定している。
The FedRAMP Rev. 5 High, Moderate, Low, and Li-SaaS baselines include an annual requirement for penetration testing. For FedRAMP Low and Li-SaaS baselines, an independent assessor is not required and scope can be limited to public facing applications in alignment with OMB Memorandum M-22-09.	FedRAMP Rev. 5 High、Moderate、Low、Li-SaaS ベースラインには、ペネトレーション・テストの年次要件が含まれている。FedRAMPのLowとLi-SaaSのベースラインでは、独立した評価者は必要なく、範囲はOMB覚書M-22-09に沿った公衆向けアプリケーションに限定することができる。
The updated guidance explains the requirements for organizations executing FedRAMP penetration tests and reporting testing results. Third Party Assessment Organizations (3PAOs) must follow the requirements for testing implementation. Cloud Service Providers can use the guidance to understand the scope of, and their role in the 3PAO testing. The guidance has been updated to include the Red Team Testing Requirements. More information can be found in our most recent blog post highlighting the additional Rev. 5 documents that were released, which were adopted in FedRAMP baselines. FedRAMP does not provide a Penetration Testing and Reporting template.	更新されたガイダンスは、FedRAMP の侵入テストを実施し、テスト結果を報告する組織の要件を説明している。第三者評価機関（3PAO）は、テストの実施に関する要件に従わなければならない。クラウド・サービス・プロバイダは、3PAOのテストの範囲とその役割を理解するために、このガイダンスを利用することができる。本ガイダンスは、レッドチームテスト要件を含むように更新された。より詳しい情報は、FedRAMP のベースラインに採用された Rev.5 の追加文書がリリースされたことを強調する、当機関の最新のブログ投稿で見ることができる。FedRAMP は、侵入テストと報告のテンプレートを提供していない。
The existing FedRAMP Penetration Test Guidance vectors are based on threat and attack models listed in the updated guidance. These have remained standard. However, based on the current threat environment, FedRAMP understands additional attack vectors might be defined for consideration, e.g., vectors applicable to Data Loss Prevention subsystems. If a stakeholder feels it reasonable to include additional attack vectors for consideration, the additional threat and attack models should also be included, as applicable. At a minimum, FedRAMP requires that all mandatory attack vectors outlined in the FedRAMP Penetration Test Guidance are covered in every 3PAO Penetration Test and Report.	既存の FedRAMP ペネトレーションテストガイダンスのベクターは、更新されたガイダンスに記載されている脅威と攻撃モデルに基づいている。これらは標準のままである。しかしながら、現在の脅威環境に基づき、FedRAMP は、例えばデータ損失防止サブシステムに適用可能なベクターなど、検討のために追加の攻撃ベクターが定義される可能性があることを理解している。利害関係者が検討のために追加の攻撃ベクターを含めることが妥当であると考える場合、該当する場合には、追加の脅威および攻撃モデルも含めるべきである。最低限、FedRAMP は、FedRAMP ペネトレーションテストガイダンスに概説されているすべての必須攻撃ベク ターを、すべての 3PAO ペネトレーションテストおよび報告書でカバーすることを要求している。
Additionally, several other requirements were updated to provide clarity and ensure that requirements were identified as mandatory instead of optional. Outlined below are the most notable updates:	さらに、他のいくつかの要件は、明確性を提供し、要件がオプションではなく必須として識別されるように更新された。以下に、最も注目すべき更新の概要を示す：
・NIST SP 800-53 Revision 5 update - Security Control CA-8(2) Security Assessment and Authorization, Penetration Testing, Red Team Exercises for all FedRAMP High and Moderate criticality systems added as Appendix E: Red Team Exercises.	・NIST SP 800-53 改訂第 5 版の更新 - すべての FedRAMP 高・中重要度システムのセキュリティ管理 CA-8(2) セキュリティアセスメントと認可、侵入テスト、レッドチーム演習を附属書 E：レッドチーム演習として追加した。
・Language clarifications to ensure that the mandatory requirements are better understood.	・必須要件がよりよく理解されるよう、文言を明確化した。
・Detailed explanation of the Email Phish Campaign requirements to most effectively conduct the campaign. Updates were made for landing page requirements for CSP personnel who are victims of the campaign.	・最も効果的にキャンペーンを実施するための、電子メールフィッシングキャンペーンの要件の詳細な説明。キャンペーンの被害者である CSP 要員のためのランディングページの要件が更新された。
・Addition of references to the MITRE ATT&CK(R) Matrix for Enterprise and the NIST Red Team Definition.	・エンタープライズ向け MITRE ATT&CK(R) マトリクスおよび NIST レッドチーム定義への参照を追加した。
Note that the CA-8(2) Red Team Testing Requirements outlined in the Penetration Test Guidance address the NIST/FedRAMP testing requirements, and are not the same as the ‘intensive, expert-led “red team”’ assessments referred to in the Office of Management and Budget draft memo, Modernizing the Federal Risk and Authorization Management Program (FedRAMP) (which was discussed previously on the FedRAMP blog).	ペネトレーション・テスト・ガイダンスに概説されている CA-8(2) レッドチーム・テスト要件は、NIST/FedRAMP テスト要件に対応するものであり、行政管理予算局のドラフト・メモ「連邦リスク及び認可管理プログラム（FedRAMP）の近代化」（FedRAMP ブログで以前議論された）で言及されている「専門家主導の集中的な "レッドチーム"」アセスメントとは異なることに注意すること。
If you have comments, edits, or feedback on the draft updated Penetration Test Guidance, submit them via the Public Comments_Draft Penetration Test Guidance form by April 24, 2024. Please be sure to include the specific draft section to which your question or comment refers. To read comments that have already been submitted, you may view the Public Comments Draft Penetration Test Guidance read-only version.	更新されたペネトレーションテストガイダンスのドラフトについてコメント、編集、フィードバックがある場合は、2024年4月24日までにパブリックコメント_ドラフトペネトレーションテストガイダンスのフォームから提出すること。その際、質問やコメントの対象となる特定のドラフト・セクションを必ず含めること。すでに提出されたコメントを読むには、パブリックコメント・ドラフト・ペネトレーションテストガイダンスの読み取り専用版を閲覧することができる。

 

・[PDF] FedRAMP Penetration Test Guidance Version 4.0 Dfaft

 

目次...

About This Document	この文書について
Who Should Use This Document?	誰がこの文書を使うべきか？
How to Contact Us	連絡方法
1. Scope of Testing	1. テストの範囲
1.1 Table 2: Cloud Service Classification	1.1 表2：クラウドサービスの分類
2. Threats	2. 脅威
2.1 Threat Models	2.1 脅威モデル
2.2 Attack Models	2.2 攻撃モデル
3. Attack Vectors	3. 攻撃ベクトル
3.1 Mandatory Attack Vectors	3.1 必須の攻撃ベクトル
3.1.1 Attack Vector 1: External to Corporate	3.1.1 攻撃ベクトル1：外部から企業へ
Email Phish Campaign	電子メールによるフィッシングキャンペーン
Non-Credentialed-Based Phishing Attack	非認証ベースのフィッシング攻撃
3.1.2 Attack Vector 2: External to CSP Target System	3.1.2 攻撃ベクトル 2：外部からCSP ターゲット・システムへ
Internal Threats	内部脅威
Unintentional Threat (Negligence, Accidental)	非意図的な脅威（過失、事故）
Intentional Threats	意図的な脅威
Other Threats	その他の脅威
Poor Separation Measures and Defense In Depth	分離対策および防御策の不備
3.1.3 Attack Vector 3: Tenant to CSP Management System	3.1.3 攻撃のベクトル 3： テナントから CSP管理システムへ
Privileged and Unprivileged Users	特権ユーザと非特権ユーザ
3.1.4 Attack Vector 4: Tenant-to-Tenant	3.1.4 攻撃のベクトル 4：テナント間
3.1.5 Attack Vector 5: Mobile Application to Target System	3.1.5 攻撃のベクトル 5：モバイル・アプリケーションからターゲット・システムへ
3.1.6 Attack Vector 6: Client-side Application and/or Agents to Target System	3.1.6 攻撃手段 6：クライアント側アプリケーションおよび／またはエージェントから対象システムへ
4. Scoping the Penetration Test	4. 侵入テストのスコープ
5. Rules of Engagement (ROE)	5. ルール・オブ・エンゲージメント(ROE)
6. Reporting	6. 報告
6.1 Scope of Target System	6.1 対象システムの範囲
6.2 Attack Vectors Assessed During the Penetration Test	6.2 侵入テストで評価される攻撃ベクトル
6.3 Timeline for Assessment Activity	6.3 評価活動のタイムライン
6.4 Actual Tests Performed and Results	6.4 実際に実施したテストとその結果
6.5 Findings and Evidence	6.5 発見事項と証拠
6.6 Access Paths	6.6 アクセス経路
7. Testing Schedule Requirements	7. テストスケジュールの要件
8. Third Party Assessment Organizations (3PAOs) Staffing Requirements	8. 第三者評価機関（3PAO）の人員要件
Appendix A: Definitions	附属書 A：定義
Appendix B: References	附属書 B：参考文献
Appendix C: Rules of Engagement / Test Plan Template	附属書 C：関与規定／テスト計画書テンプレート
Rules of Engagement / Test Plan	関与規定／テスト計画書
System Scope	システム範囲
Assumptions and Limitations	想定と制限
Testing Schedule	テストスケジュール
Testing Methodology	テスト方法
Relevant Personnel	関係者
Incident Response Procedures	インシデント対応手順
Evidence Handling Procedures	証拠取扱手順
Appendix D: Red Team Exercises	附属書 D： レッドチーム演習
Requirement	要件
Objective	目的
Deliverables	成果物

 

ちなみに現在のVersion 3.0

・[PDF] FedRAMP Penetration Test Guidance Version 3.0