米国 FedRAMPの新しいロードマップ(2024-2025)

こんにちは、丸山満彦です。

連邦政府が利用するクラウドサービスを登録するFedRAMPは2011年に開始され、もう10年以上運用されていますね...このブログでも

・2012.02.16 FedRAMP　（クラウドサービスのセキュリティ評価の標準アプローチ）

で紹介しています...

で、最近の変化等も見据えて、2024年ー2025年のロードマップを公表していますね...

さすがと思うのは、OSCALについてもふれているところです...

OSCALは野心的な取り組みと個人的には思うのですが、これが普及すれば、セキュリティ監査というか、評価というか...が自動化され、効率化されるので、効果は大きいですね...

日本でも米国を習ってOSCALを取り入れようとする動きはあるので、興味深いところです...

 

● FedRAMP - Blog

・2024.03.27 A New Roadmap for FedRAMP

 

 

・

A New Roadmap for FedRAMP	FedRAMPの新しいロードマップ
Today, the FedRAMP program is releasing a roadmap, to convey our strategic goals and how we’re prioritizing our work in the near term to drive progress against them.	本日、FedRAMP プログラムはロードマップを発表し、我々の戦略的目標と、それに対する進捗を促進するための当面の作業の優先順位付けを説明する。
In recent years, there has been a significant public focus on modernizing FedRAMP. In 2022, Congress passed a new law codifying the program. In 2023, the White House Office of Management and Budget (OMB) released a draft policy memorandum proposing significant changes to program operations and governance. Broadly, these changes have been intended to keep what’s worked well about FedRAMP, while creating a runway for the program to adapt to change, now and into the future.	ここ数年、FedRAMPの近代化に大きな注目が集まっている。2022年、議会はプログラムを成文化する新しい法律を可決した。2023年、ホワイトハウスの行政管理予算局（OMB）は、プログラムの運用とガバナンスの大幅な変更を提案する政策メモのドラフトを発表した。大まかに言えば、これらの変更は、FedRAMPについてこれまでうまく機能してきたことを維持する一方で、現在および将来にわたってプログラムが変化に適応するための道筋を作ることを意図している。
And that makes sense, because a lot has changed since FedRAMP was created in 2011. At that time, the federal government was overwhelmingly focused on making sure agencies could benefit from the explosion in commercial, cloud-based computing infrastructure that was transforming how enterprises around the world thought about building and scaling software. FedRAMP proved critical to creating a well-lit path to bring that cloud computing infrastructure into government, where its use is now widespread.	というのも、2011年にFedRAMPが創設されて以来、多くの変化があったからだ。当時、連邦政府は、世界中のエンタープライズがソフトウェアの構築とスケーリングについてどのように考えているかを変えつつあった、商業的なクラウドベースのコンピューティング・インフラストラクチャの爆発的な増加から、各省庁が利益を得られるようにすることに圧倒的に重点を置いていた。FedRAMPは、クラウド・コンピューティング・インフラストラクチャを政府に導入するための明確な道筋を作る上で極めて重要であることを証明した。
Today, what federal agencies need from FedRAMP is not only computing infrastructure, but everything that’s being built on top of it. Modern enterprises today run on a kaleidoscope of cloud-based applications, large and small. It is critical that FedRAMP be well-positioned to make sure federal agencies get the full benefit of these software-as-a-service (SaaS) cloud offerings.	今日、連邦政府機関がFedRAMPから必要としているのは、コンピューティング・インフラストラクチャだけでなく、その上に構築されるすべてのものである。現代のエンタープライズは、大小さまざまなクラウドベースのアプリケーションを万華鏡のように駆使している。FedRAMPは、連邦政府機関がこれらのSaaS（Software-as-a-Service）クラウドオファリングの恩恵をフルに享受できるよう、万全の態勢を整えることが重要である。
While SaaS applications are used in government, and FedRAMP does have some in its marketplace, it’s not nearly enough and it’s not working the way that it should. We know that for many companies, especially software-focused companies, it takes too much time and money to get a FedRAMP authorization. And we’re particularly cognizant that we need to scale and automate our own processes beyond where they’re at now if we want to meaningfully grow the FedRAMP marketplace.	SaaSアプリケーションは政府で使用されており、FedRAMPはその市場でいくつか使用しているが、それはほとんど十分ではなく、あるべきようには機能していない。我々は、多くの企業、特にソフトウェアに特化した企業にとって、FedRAMP認可を得るには時間と費用がかかりすぎることを知っている。そして、FedRAMP市場を有意義に成長させたいのであれば、現在よりも規模を拡大し、独自のプロセスを自動化する必要があることを特に認識している。
Our roadmap lays out our 4 primary goals:	我々のロードマップには、4つの主要目標が示されている：
・Orienting around the customer experience. We’ll simplify the process for cloud providers, and make the results more useful for agencies. As we do that, we want our conception of how much time and money it costs to go through FedRAMP to match our customers’ lived experience as closely as possible.	・顧客体験を重視する。クラウドプロバイダーにとってプロセスを簡素化し、機関にとって結果をより有益なものにする。その際、FedRAMP を通過するためにどれだけの時間と費用がかかるかという概念を、可能な限り顧客の実体験に近づけたい。
・Cybersecurity leadership. FedRAMP is a security and risk management program. We’ll make our security expectations clearer and more consistent for every kind of FedRAMP authorization. At the same time, we’ll start and continue updating FedRAMP policies to make sure a too-rigid approach doesn’t get in the way of real-world security.	・サイバーセキュリティのリーダーシップ。FedRAMPはセキュリティとリスクマネジメントのプログラムである。我々は、FedRAMPのあらゆる認可について、セキュリティへの期待をより明確にし、一貫性を持たせる。同時に、厳格すぎるアプローチが現実のセキュリティの妨げにならないよう、FedRAMPポリシーの更新を開始し、継続する。
・Scaling a trusted marketplace. We’ll develop clear processes with trusted authorizing partners that cut down on unnecessary reviews at GSA. At the same time, FedRAMP will centrally take on more post-authorization monitoring and automate as much of it as possible.	・信頼される市場を拡大する。信頼できる認可パートナーと明確なプロセスを開発し、GSA での不必要な審査を削減する。同時に、FedRAMP は認可後の監視を一元的に引き受け、可能な限り自動化する。
・Smarter, technology-forward operations. We’ll build a data-first, API-first foundation for FedRAMP by putting the tools, specs, and services in place to create and share digital authorization packages and other information.	・よりスマートな、テクノロジー先進の業務。デジタル認可パッケージやその他の情報を作成・共有するためのツール、仕様、サービスを整備することで、FedRAMP のデータ・ファースト、API・ファーストの基盤を構築する。
Our roadmap contains some specific initiatives we’re undertaking to make concrete progress against these goals:	私たちのロードマップには、これらの目標に対して具体的な前進を遂げるための具体的な取り組みがいくつか含まれている：
1. An agile approach to change management. FedRAMP needs to enable agile software delivery of security improvements and other features. To do this, we plan to replace the “significant change request” process with an approach that does not require advance approval for each change. We’ll start by piloting a new process with interested authorized cloud providers, and use the pilot to finalize broader guidance.	1. 変更管理へのアジャイル・アプローチ：FedRAMPは、セキュリティ改善やその他の機能の俊敏なソフトウェア提供を可能にする必要がある。そのために、「重要な変更要求」プロセスを、変更ごとに事前の承認を必要としないアプローチに置き換えることを計画している。私たちはまず、関心のある認可クラウド・プロバイダーと新しいプロセスを試験的に実施することから始め、この試験的なプロセスを利用して、より広範なガイダンスを確定する。
2. Publish new, customer-oriented program metrics. If we are going to impact the cost of FedRAMP and how long it takes to get and stay authorized, we need a better way to measure those things, informed by what our customers are actually experiencing. Likewise, we need to refine our understanding of our agencies’ customers’ experience and focus on ensuring they can efficiently and securely leverage cloud services to meet their mission needs. We plan to survey customers about their experience, soon and at a regular cadence, and to update FedRAMP’s formal performance metrics based on this survey to align with customer outcomes.	2. 顧客志向の新しいプログラム指標の公表：FedRAMPのコストや認可の取得・維持にかかる期間に影響を与えようとするならば、顧客が実際に経験していることに基づいた、より良い測定方法が必要である。同様に、われわれは各省庁の顧客の経験についての理解を深め、彼らがミッションのニーズを満たすためにクラウドサービスを効率的かつ安全に活用できるようにすることに集中する必要がある。われわれは、顧客の経験について、近々、定期的に調査を行い、この調査に基づいてFedRAMPの正式なパフォーマンス指標を更新し、顧客の成果と整合させることを計画している。
3. Define FedRAMP’s core security expectations. A central challenge of FedRAMP is to accommodate varying risk tolerances across agencies, while still setting a high enough bar for its authorizations to broadly support agency reuse without additional work. We plan to make progress here by more clearly defining the outcomes we expect all types of authorizations to meet. We will also work closely with the Cybersecurity and Infrastructure Security Agency (CISA) to develop and deploy the best protections for and minimize the risk to the federal enterprise. By combining this with more public documentation and examples of how cloud providers meet FedRAMP’s security goals, we can also streamline the authorization process overall.	3. FedRAMPが期待する中核的なセキュリティの定義：FedRAMP の中心的な課題は、各省庁によって異なるリスク許容度に対応する一方で、追加作業なしに各省庁の再利用を広くサポートできるよう、認可の基準を十分に高く設定することである。われわれは、あらゆる種類の認可が満たすべき成果をより明確に定義することで、ここでの進展を図る計画である。また、サイバーセキュリティ・インフラセキュリティ庁（CISA）と緊密に連携し、連邦エンタープライズに対するリスクを最小化するための最善の防御を開発・展開する。これを、クラウドプロバイダがFedRAMPのセキュリティ目標をどのように満たしているかの、より多くの公開文書や事例と組み合わせることで、認可プロセス全体を合理化することもできる。
4. Keeping FedRAMP policies focused on outcomes. As a security-first program, FedRAMP needs to care not only about what is required, but about how those requirements can be reasonably applied and how they work out in practice. FedRAMP will hold cloud providers to a high standard informed by how implementation best practices have evolved, and that provides the flexibility needed to stay focused on security outcomes. We’ll start with updated guidance in a few areas that we know are particular authorization pain points now (such as FIPS 140, DNSSEC, and external service integrations), and set up a regular process for understanding where to focus over time.	4. FedRAMP ポリシーを成果に集中させる：セキュリティ第一のプログラムであるFedRAMPは、何が要求されているかだけでなく、それらの要求事項がどのように合理的に適用され、実際にどのように機能するかに注意を払う必要がある。FedRAMPはクラウドプロバイダに、実装のベストプラクティスがどのように進化してきたかによって知らされる高い標準を課し、セキュリティの成果に焦点を当て続けるために必要な柔軟性を提供する。我々は、現在特に認可のペインポイントであることが分かっているいくつかの分野（FIPS 140、DNSSEC、外部サービスの統合など）のガイダンスを更新することから始め、時間をかけてどこに重点を置くべきかを理解するための定期的なプロセスを設定する。
5. Increase the authorizing capacity of the FedRAMP ecosystem. We will work with trusted authorizing partners to align our processes and eliminate the need for extensive per-package review by the program. We will be piloting this approach with our partners at DISA who serve as the Cloud Authorizing Official for the Department of Defense. More generally, we will be supporting OMB and the FedRAMP Board in convening joint authorization groups, who we expect to be strong candidates for this streamlined approach	5. FedRAMPエコシステムの認可能力の向上；信頼できる認可パートナーと協力してプロセスを調整し、プログラムによる大規模なパッケージごとのレビューの必要性を排除する。国防総省のクラウド認可官を務めるDISAのパートナーとともに、このアプローチを試験的に実施する。より一般的には、OMBとFedRAMP理事会が合同認可グループを招集するのを支援する予定であり、 我々は、この合理化されたアプローチの有力な候補者であると期待している。
6.Move to digital authorization packages. While a full migration will take time, FedRAMP needs to operate as a data-first program for its processes to scale. We will define machine readable packages, in OSCAL, and provide the guidance and tools to help our customers create and share them. Our goal is to leverage automated validation and assessment of packages, as well as system-to-system integration with our FedRAMP governance, risk, and compliance (GRC) platform to modernize and scale. We will work with interested cloud providers to pilot creating these packages and incorporating them into the authorization process in partnership with interested agencies.	6. デジタル認可パッケージへの移行：完全な移行には時間がかかるだろうが、FedRAMP はそのプロセスを拡張するためにデータ優先のプログラムとして運用する必要がある。我々はOSCALで機械可読パッケージを定義し、顧客がそれを作成し共有できるようにガイダンスとツールを提供する。我々の目標は、FedRAMPガバナンス、リスク、コンプライアンス（GRC）プラットフォームとのシステム間統合だけでなく、パッケージの自動検証とアセスメントを活用し、近代化と拡張を図ることである。私たちは関心のあるクラウドプロバイダーと協力して、これらのパッケージを試験的に作成し、関心のある省庁と協力して認可プロセスに組み込む。
There are other things we’re working on too, like exploring reciprocity with external frameworks, and partnering with our colleagues at CISA on scaling secure configuration guides and threat sharing. Take a look at our published roadmap for more details.	その他にも、外部フレームワークとの互恵関係を模索したり、CISAの同僚と協力して安全なコンフィギュレーション・ガイドや脅威の共有の拡張に取り組んだりしている。詳細については、公表されているロードマップをご覧いただきたい。
We’re hoping to see a number of outcomes from our efforts over time. We expect our industry providers to be able to more effectively deploy changes, and our agency partners to see more features – including security features – faster. We expect to stabilize our review “backlog”, and keep it stabilized over the long term. We expect cloud providers, agencies, and third party assessors to have a better understanding of our security requirements, leading to higher quality packages and ultimately greater trust in the FedRAMP program.	私たちは、この取り組みから多くの成果が得られることを期待している。業界プロバイダがより効果的に変更を導入できるようになり、省庁パートナーがより多くの機能（セキュリティ機能を含む）をより早く利用できるようになることを期待している。我々は、レビューの「バックログ」を安定させ、長期的に安定させることを期待している。クラウドプロバイダ、エージェンシー、サードパーティ評価者がFedRAMPのセキュリティ要件をよりよく理解することで、パッケージの品質が向上し、最終的にはFedRAMPプログラムに対する信頼が高まることを期待している。
Most importantly, we want to understand early what’s working and what’s not so that we can adapt our work and priorities as we go. That’s why we’re planning to initiate pilots and deliver minimum viable products (MVPs) early wherever we can, and why we’ll be checking in with customers throughout the process.	最も重要なことは、何がうまくいっていて、何がうまくいっていないのかを早期に理解することで、我々の作業や優先順位を適宜変更できるようにすることだ。できる限り早い段階で試験運用を開始し、最小実行可能製品（MVP）を提供することを計画しているのもそのためであり、プロセス全体を通じて顧客に確認を取るのもそのためである。
These initiatives will take real time and resources, so as we move out on them, you may notice some shifts in how it feels to work with us. At least for a time, we’ll be less available for ad hoc calls and individualized service, as we focus on what we believe are more foundational changes that will improve the customer experience for everyone. Similarly, we will be doing fewer one-off communications and events, but when you do hear from us, it will be more significant, including updates to our overall roadmap at least a couple times each year. We’ll continue to ask for public comments on significant changes, including occasional public forums, so that we can incorporate your feedback throughout.	これらの取り組みには実際の時間とリソースがかかるため、私たちがこの取り組みに着手するにつれ、私たちと仕事をする感覚に変化が生じるかもしれない。少なくともしばらくの間は、カスタマー・エクスペリエンスを向上させるより基本的な変更に集中するため、臨時の電話や個別のサービスには応じられないだろう。同様に、単発のコミュニケーションやイベントは少なくなるが、少なくとも毎年2、3回は全体的なロードマップを更新するなど、より重要なお知らせをする予定だ。また、重要な変更については、時折パブリック・フォーラムを開催するなどして、引き続きパブリック・コメントを求めていく。
Coming up next, we’ll be engaging on this roadmap and kicking off recruiting efforts for a new FedRAMP Director and other roles. Some dates to be aware of:	次に予定されているのは、このロードマップに関する取り組みと、新しいFedRAMP ディレクターやその他の役割のための採用活動の開始である。注意すべきいくつかの日程
・April 1st and 3rd: GSA will hold information sessions on April 1 and April 3 about the upcoming FedRAMP Director role.	4月1日と4月3日：GSAは4月1日と4月3日に次期FedRAMPディレクターの役割に関する説明会を開催する。
・Later in April: The role of FedRAMP Director will open for applications on USAJobs.	4月後半： FedRAMP ディレクターは USAJobs で公募される。
・April 11: FedRAMP will hold a public forum to present and take questions on its updated roadmap.	4月11日：FedRAMPは公開フォーラムを開催し、更新されたロードマップについて発表し、質問を受け付ける。
・April 18th: FedRAMP will be at the “Tech to Gov” hiring fair, where we’ll be looking for technology talent that can help us build the data- and API-driven FedRAMP of the future and support FedRAMP’s prioritization of generative AI and emerging technologies.	4月18日 FedRAMPは "Tech to Gov "採用フェアに参加し、将来のデータとAPI主導のFedRAMPを構築し、FedRAMPの優先事項である生成的AIと新興技術をサポートできる技術人材を探す。

 

・[PDF] FedRAMP Roadmap 2024-2025

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

・2020.06.05 内閣官房 総務省 経済産業省 「政府情報システムのためのセキュリティ評価制度（ISMAP）」の運用を開始しました

・2012.02.16 FedRAMP　（クラウドサービスのセキュリティ評価の標準アプローチ）