米国 これからはFedRampも含めて監査は自動化 (automate.fedramp.gov) !キーワードはOSCAL
こんにちは、丸山満彦です。
FedRampは338のサイトが認証をうけていますが...この認証を効率的にすることは重要ですね。。。そのための手段の一つがthe Open Security Controls Assessment Language; OSCALの利用ですね...
FedRampのブログで、そのあたりの話が書いています。。。FedRampをベースにつくった日本のISMAPもこれに続きますかね...いや、続かねばならないでしょうね...
・2024.07.11 New Website Launch: automate.fedramp.gov
| New Website Launch: automate.fedramp.gov | 新しいウェブサイトの立ち上げ:automate.fedramp.gov |
| FedRAMP’s Automation Website: A New Hub for Technical Documentation and Guidance on Digital Authorization Packages | FedRAMPの自動化ウェブサイト: デジタル認証パッケージに関する技術文書とガイダンスの新しいハブ |
| Today, we are launching automate.fedramp.gov. This is a new technical documentation hub designed specifically to support cloud service providers (CSPs) in the development, validation, and submission of digital authorization packages, and the developers of governance, risk, and compliance (GRC) applications and other tools that produce and consume digital authorization package data. | 本日、我々はautomate.fedramp.gov.を立ち上げる。これは、デジタル認証パッケージの開発、検証、提出におけるクラウド・サービス・プロバイダー(CSP)、およびガバナンス、リスク、コンプライアンス(GRC)アプリケーションやデジタル認証パッケージ・データを生成・利用するその他のツールの開発者を支援するために特別に設計された新しい技術文書ハブである。 |
| The website is initially focused on documenting FedRAMP’s use of the Open Security Controls Assessment Language (OSCAL) to support digital authorization packages – a foundational piece of operating FedRAMP in a data-first way. We plan to expand the website over time as we bring new capabilities online, and it will eventually include details of how to integrate with FedRAMP’s package repository and submission processes. | このウェブサイトは当初、FedRAMPがデジタル認可パッケージをサポートするためにオープン・セキュリティ・コントロール・アセスメント・ランゲージ(OSCAL)を使用していることを文書化することに重点を置いている。このウェブサイトは、新しい機能をオンライン化するにつれて順次拡大していく予定であり、最終的にはFedRAMPのパッケージ・リポジトリと提出プロセスとの統合方法の詳細も掲載する予定である。 |
| Please note that this site replaces the previously published FedRAMP OSCAL User Guides with reorganized content that allows for linking to specific sections of the guides and makes it possible for community members to contribute to the guide content. This work realigns the guidance to provide a digital-first public experience as required by OMB memorandum M-23-22. | このサイトは、以前発行されたFedRAMP OSCALユーザー・ガイドを、ガイドの特定のセクションへのリンクを可能にし、コミュニティ・メンバーがガイドの内容に貢献できるように再編成された内容で置き換えることに留意してほしい。この作業は、OMBの覚書M-23-22が要求しているデジタルファーストのパブリック・エクスペリエンスを提供するために、ガイダンスを再編成するものである。 |
| automate.fedramp.gov offers detailed technical documentation, best practices, and guidance for creating and managing digital authorization packages with OSCAL. This site will help make the FedRAMP authorization process more efficient and accessible by: | automate.fedramp.govは、OSCALを使ったデジタル認証パッケージの作成と管理のための詳細な技術文書、ベストプラクティス、ガイダンスを提供している。このサイトは、FedRAMP認可プロセスをより効率的で利用しやすいものにするために、以下のような支援を行う: |
| ・Providing faster and more frequent documentation updates | ・文書の更新をより迅速かつ頻繁に行う。 |
| ・Expanding the breadth and depth of available technical documentation | ・利用可能な技術文書の幅と深さを拡大する。 |
| ・Improving the user experience for stakeholders who are implementing OSCAL-based FedRAMP packages and tools | ・OSCALベースのFedRAMPパッケージやツールを導入する関係者のユーザーエクスペリエンスを向上させる。 |
| ・Establishing a collaborative workflow that supports community contributions for improvements to the documentation | ・文書改善のためのコミュニティへの貢献を支援する共同ワークフローを確立する。 |
| As with our automation work generally, this website is open source, and anyone is welcome to open an issue to provide feedback, or file a pull request to suggest changes or improve the content. | 一般的な自動化作業と同様に、このウェブサイトはオープンソースであり、誰でもフィードバックを提供するために課題を開設したり、コンテンツの変更や改善を提案するためにプルリクエストを提出することができる。 |
ここが開発者のハブ...
● FedRAMP Developer Hub
| Build a More Automated FedRAMP Risk Management Process | より自動化されたFedRAMPリスク管理プロセスを構築する |
| Helping you to develop OSCAL-based tools to streamline and automate risk management for cloud services used by the federal government | 連邦政府が利用するクラウドサービスのリスク管理を合理化・自動化するOSCALベースのツール開発を支援する |
| Helping Developers Modernize Security Assessments, System Authorizations, and Continuous Monitoring | 開発者のセキュリティ評価、システム認証、継続的モニタリングの近代化を支援する |
| The FedRAMP developer hub is an active, open source community for engineers focused on creating the tooling used to create, maintain, and use digital authorization packages and continuous monitoring data. Contributors to this community are working to use and enhance the Open Security Controls Assessment Language (OSCAL) to reduce friction through all stages of the FedRAMP authorization and continuous monitoring processes. | FedRAMP 開発者ハブは、デジタル認証パッケージと継続的モニタリングデータの作成、維持、使用に使用するツールの作成に焦点を当てたエンジニアのための活発なオープンソースコミュニティである。このコミュニティへの貢献者は、FedRAMP の認可と継続的モニタリングのプロセスの全段階を通じて摩擦を減らすために、OSCAL(Open Security Controls Assessment Language)の使用と強化に取り組んでいる。 |
| OSCAL offers a number of benefits for streamlining and automating aspects of the information system authorization process. | OSCALは、情報システム認可プロセスの合理化と自動化のために多くの利点を提供する。 |
| Our goal is to enable you to develop tools that will seamlessly ensure FedRAMP OSCAL requirements are met so your security practitioners can focus on authorization package content and accuracy, rather than formatting and presentation. | 当社の目標は、FedRAMP の OSCAL 要件をシームレスに満たすツールを開発できるようにすることであり、その結果、貴社のセキュリティ担当者は、書式や体裁を整えることよりも、認可パッケージの内容と正確さに集中できるようになる。 |
| Below are just a few examples of how FedRAMP OSCAL-based authorization packages will benefit your organization: | 以下は、FedRAMP OSCAL ベースの認証パッケージがどのように貴社の組織に利益をもたらすかのほんの一例である: |
| ・Cloud Service Providers (CSPs) are able to create their FedRAMP authorization packages more rapidly and accurately, validating much of the package content before submission to agencies and FedRAMP for review. | ・クラウド・サービス・プロバイダー(CSP)は、FedRAMP認可パッケージをより迅速かつ正確に作成することができ、審査機関やFedRAMPに提出する前にパッケージの内容の多くを検証することができる。 |
| ・Third Party Assessment Organizations (3PAOs) are able to use OSCAL-based authorization package data to automate the planning, execution, and reporting of cloud assessment activities. | ・第三者評価機関(3PAO)は、OSCALベースの認可パッケージデータを使用して、クラウド評価活動の計画、実行、報告を自動化できる。 |
| ・Agencies are able to expedite their reviews of authorization packages. | ・各省庁は、認可パッケージのレビューを迅速に行うことができる。 |
| FedRAMP expects to be able to collaboratively build tooling to further reduce the cost and improve the quality of package reviews based on OSCAL data. | FedRAMPは、OSCALデータに基づくパッケージ・レビューのさらなるコスト削減と品質向上のためのツールを共同で構築できることを期待している。 |
| Get started with FedRAMP OSCAL-based authorization packages today. | FedRAMP OSCALベースの認可パッケージの利用を今すぐ開始する。 |
| About FedRAMP’s Use of OSCAL | FedRAMPのOSCAL利用について |
| The Federal Risk Authorization and Management Program (FedRAMP®) is working to scale the Program’s ability to meet the needs of the market. To scale, FedRAMP needs to improve the degree of automation used to create, submit, and review packages for cloud information systems, and to continuously monitor these systems to ensure that baseline security requirements are met. | FedRAMP®(Federal Risk Authorization and Management Program)は、市場のニーズに対応するため、FedRAMPの規模拡大に取り組んでいる。規模を拡大するためには、FedRAMPはクラウド情報システムのパッケージの作成、提出、レビューに使用する自動化の程度を改善し、これらのシステムを継続的に監視して基本的なセキュリティ要件が満たされていることを確認する必要がある。 |
| The Open Security Controls Assessment Language (OSCAL) provides the capabilities needed to realize FedRAMP’s strategic objectives around automation and modernization. | Open Security Controls Assessment Language (OSCAL)は、自動化と近代化に関するFedRAMPの戦略目標を実現するために必要な機能を提供する。 |
| This section of the website includes: | このセクションには以下が含まれる: |
| ・Important background information to help understand the types of information contained in security documentation used for assessment. | 評価に使用されるセキュリティ文書に含まれる情報の種類を理解するのに役立つ重要な背景情報。 |
| ・Information on the OSCAL models and how they are used to represent security documentation and assessment information. | ・OSCAL モデルに関する情報と、それがどのようにセキュリティ文書とアセスメント情報を表現するために使用されるかに関する情報。 |
| ・Discussion of how the OSCAL models are used by different stakeholders. | ・OSCAL モデルがさまざまな利害関係者によってどのように使用されているかについての考察 |
| ・Examination of the benefits of using OSCAL as part of FedRAMP’s automation and modernization strategy. | ・FedRAMPの自動化・近代化戦略の一環としてOSCALを使用する利点の検討。 |
| ・Answers to frequently ask questions on FedRAMP’s use of OSCAL and the automation and modernization approach. | ・FedRAMPによるOSCALの利用と自動化・近代化アプローチに関するよくある質問への回答。 |
| ・Information on how FedRAMP will manage releases that include human- and machine-oriented resources. | ・FedRAMPが、人間指向と機械指向のリソースを含むリリースをどのように管理するかについての情報。 |
ちなみにNISTにもOSCALの情報があります...
● NIST
・OSCAL: the Open Security Controls Assessment Language
AMAZONのOSCAL対応の件
● AMAZON AWS - AWS Security Blog
・2022.06.30 AWS achieves the first OSCAL format system security plan submission to FedRAMP
AMAZON AWSが対応をしている監査プログラム...
日本語です...
・コンプライアンスプログラムによる対象範囲内の AWS のサービス
● まるちゃんの情報セキュリティ気まぐれ日記
OSCAL
・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書
・2024.04.22 内部監査人協会 意見募集 トピック別要求事項:サイバーセキュリティ (2024.04.11)
・2024.04.02 米国 FedRAMPの新しいロードマップ(2024-2025)
・2024.03.05 NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング: サイバーセキュリティとプライバシーの概念マッピングの開発 (2024.02.26)
・2023.08.21 米国 NIST 重要なハイテク産業における米国の競争力に関する報告書
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2020.07.16 JIPDEC ”米国のプライバシー保護に関する動向”
« 世界経済フォーラム (WEF) スマートコントラクトの台頭とサイバーリスクおよび法的リスクを軽減する戦略 (2024.07.16) | Main | フランス ANSSI 機密情報システムをクラウドでホスティングするための推奨事項 »
Comments