米国 一般調達局 FedRAMP 20X (2025.03.24)
こんにちは、丸山満彦です。
2024年にFedRAMPのプロセスが改訂され、FedRAMP 20Xに変わっていきますよね...
FedRAMP認可には費用も時間もかかりすぎる...ということでの改革ですね。 日本もFedRAMPを参考にISMAPを作っているので、同じ方向で改善していくのがよいのでしょうね...
ポイントは評価の自動化です...
● U.S. General Services Administration
・2025.03.24 GSA announces FedRAMP 20x
| U.S. General Services Administration | 米国一般調達局 |
| GSA announces FedRAMP 20x | 一般調達局がFedRAMP 20xを発表 |
| Implementing a new approach to accelerate cloud adoption | クラウド導入を加速させる新たなアプローチを導入 |
| WASHINGTON — The U.S. General Services Administration (GSA), a leader in providing tools and guidance to help federal agencies deliver seamless digital services to American taxpayers, announced today that the Federal Risk and Authorization Management Program (FedRAMPⓇ) will focus on working with industry to develop a new, cloud-native approach to authorizations. | ワシントン - 連邦政府機関が米国の納税者にシームレスなデジタルサービスを提供するためのツールやガイダンスを提供するリーダーである米国一般調達局(GSA)は本日、連邦リスク・認可マネジメント・プログラム(FedRAMPⓇ)が業界と協力して認可に対する新たなクラウドネイティブ・アプローチの開発に注力することを発表した。 |
| FedRAMP 20x will focus on innovating alternative approaches to make automated authorization simpler, easier, and cheaper while continuously improving security. The FedRAMP team will also continue to support traditional agency authorizations. | FedRAMP 20xは、セキュリティを継続的に改善しながら、自動認可をよりシンプル、簡単、安価にするための代替アプローチの革新に重点を置く。FedRAMPチームは、従来の認可機関も引き続きサポートする。 |
| “Since the start of this Administration, we’ve focused on improving government operations to make them more efficient and effective for every employee and the American taxpayer,” said GSA Acting Administrator Stephen Ehikian. “Our partnership with the commercial cloud industry needs serious improvement. Strengthening this relationship will help us fulfill our commitment to cutting waste and adopting the best available technologies to modernize the government’s aging IT infrastructure. FedRAMP 20x will give agencies access to the latest technology now — not months or years down the road.” | 「ガバナンスの開始以来、我々は政府業務の改善に重点を置き、すべての職員と納税者にとってより効率的で効果的な政府業務を目指してきた。「商用クラウド業界とのパートナーシップは深刻な改善が必要だ。この関係を強化することは、無駄を削減し、政府の老朽化したITインフラを近代化するために利用可能な最善の技術を採用するという我々のコミットメントを果たすことにつながる。FedRAMP 20xは、数カ月後や数年後ではなく、今すぐに最新技術にアクセスできるようにする。 |
| FedRAMP 20x is built on these core principles: | FedRAMP 20x はこれらの基本原則の上に構築されている: |
| GSA will set the foundation for private sector innovation: FedRAMP will make it easier for cloud providers to follow modern security practices and show their leadership in developing secure cloud solutions for the government. FedRAMP will also hold public working groups to gather input from industry, ensure equal access to information, encourage pilot programs, and provide technical guidance before formal public comment and release. | GSAは民間部門の技術革新の基礎を築く: FedRAMPは、クラウド・プロバイダが最新のセキュリティ慣行に従うことを容易にし、政府向けの安全なクラウド・ソリューションの開発においてリーダーシップを発揮できるようにする。FedRAMPはまた、業界からのインプットを集め、情報への平等なアクセスを確保し、パイロット・プログラムを奨励し、正式なパブリック・コメントとリリースの前に技術ガイダンスを提供するために、公開ワーキング・グループを開催する。 |
| Cutting red tape through automation: FedRAMP is required for all federal agency cloud services, but getting approved currently involves a lot of paperwork and a slow manual process. FedRAMP 20x will reduce unnecessary paperwork and aim to automate as much of the process as possible to accelerate approvals in a cost efficient manner. | 自動化によってお役所仕事を削減する: FedRAMPはすべての連邦政府機関のクラウド・サービスに義務付けられているが、現在、承認を得るには多くの書類作成と時間のかかる手作業が必要である。FedRAMP 20xでは、不必要なペーパーワークを削減し、可能な限りプロセスを自動化して、コスト効率の高い方法で承認を加速することを目指す。 |
| Faster, more secure cloud adoption: Currently, it can take months or even years for a cloud provider to get FedRAMP approval, which slows down how quickly agencies can adopt new technology. FedRAMP 20x will simplify and clarify security requirements so that new cloud services can be approved in weeks instead of years. | より迅速で安全なクラウド導入: 現在、クラウドプロバイダーがFedRAMPの承認を得るには数カ月から数年かかることもあり、そのため各省庁が新技術を採用するスピードが遅くなっている。FedRAMP 20x では、セキュリティ要件が簡素化・明確化されるため、新しいクラウド・サービスを数年ではなく数週間で承認できるようになる。 |
| More flexibility and better collaboration: FedRAMP has traditionally acted as a middleman between agencies and cloud providers. FedRAMP 20x will build on existing trust and make it easier for providers and agencies to work together directly. | より柔軟でより良いコラボレーション: FedRAMPは従来、省庁とクラウドプロバイダの仲介役として機能してきた。FedRAMP 20x は既存の信頼関係を基礎とし、プロバイダと各省庁が直接協力しやすくする。 |
| “FedRAMP is a shared service that meets the critical needs of agencies government-wide,” said Technology Transformation Services Director and Deputy Commissioner of the Federal Acquisition Service Thomas Shedd. “We’re not just modernizing a process; we’re reimagining how federal cloud security can work and providing agencies the ability to determine their own risk posture. FedRAMP 20x represents our commitment to cutting through complexity, empowering innovation, and ensuring that security keeps pace with technological advancement. FedRAMP 20x will keep driving faster, smarter, and more customer-focused service for years to come.” | 「FedRAMPは政府機関の重要なニーズを満たす共有サービスだ。「我々は単にプロセスを近代化するだけでなく、連邦政府のクラウドセキュリティのあり方を再構築し、各機関が自らのリスク態勢を決定する能力を提供している。FedRAMP 20xは、複雑さを克服し、イノベーションを強化し、セキュリティが技術の進歩に遅れないようにするという我々のコミットメントを表している。FedRAMP 20xは、今後何年にもわたって、より速く、よりスマートで、より顧客重視のサービスを推進し続けるだろう。 |
| Some of the changes being made to further position the program where it belongs, at the pace of technology, include: | FedRAMP20xは、今後何年にもわたり、より迅速でスマートな、より顧客重視のサービスを推進し続けるだろう: |
| ・No federal agency sponsor needed for simple, low-impact service offerings | ・シンプルで影響の少ないサービスの提供には、連邦政府機関のスポンサーは必要ない。 |
| ・No unnecessary or duplicative paperwork | ・不要な書類作成や重複する書類作成がない |
| ・Turn-key adoption for simple, cloud-native environments | ・シンプルでクラウド・ネイティブな環境のためのターンキー採用 |
| ・Engineer-friendly security requirements that are easy to implement | ・実装が容易なエンジニアフレンドリーなセキュリティ要件 |
| ・Authorization in weeks for most cloud offerings | ・ほとんどのクラウド・オファリングの認可が数週間で完了 |
| “As a member of the FedRAMP Board, I am incredibly excited about FedRAMP 20x,” said Chief Product Officer and Deputy Chief Information Officer, Product Delivery Service (PDS), in the Office of Information and Technology at the Department of Veterans Affairs Carrie Lee. “This transformative vision will streamline FedRAMP processes, leveraging automation and modern technologies to accelerate secure cloud adoption across federal agencies. By reducing authorization times from years to weeks and enhancing security postures through our modernization efforts, we are setting a new standard for efficiency and innovation. This initiative will lower vendor costs, increase competition, and build greater trust with industry. FedRAMP 20x is a game-changer, and I am proud to be part of this journey towards a more secure and efficient federal cloud landscape.” | 「FedRAMP Boardのメンバーとして、FedRAMP 20xに大きな期待を寄せています」と、退役軍人省情報技術局のキャリー・リー最高製品責任者兼プロダクト・デリバリー・サービス(PDS)副最高情報責任者は述べた。「この変革的ビジョンは、自動化と最新技術を活用してFedRAMPプロセスを合理化し、連邦政府機関全体の安全なクラウド導入を加速する。認可にかかる時間を数年から数週間に短縮し、近代化の取り組みを通じてセキュリティ体制を強化することで、我々は効率性と革新性の新たな標準を打ち立てようとしている。このイニシアチブは、ベンダーのコストを下げ、競争を促進し、業界とのより大きな信頼を構築する。FedRAMP 20xはゲームチェンジャーであり、より安全で効率的な連邦政府のクラウド環境に向けたこの旅に参加できることを誇りに思う。 |
| The private sector has already shared their excitement about FedRAMP 20x. FedRAMP stakeholders stated: | 民間セクターはすでにFedRAMP 20xへの興奮を共有している。FedRAMP関係者は次のように述べている: |
| “Increased government efficiency and transformation are imperative for all agencies as they work to modernize legacy technology, streamline complex processes, and improve operations. GSA’s new approach is no exception… streamlining FedRAMP will expedite the adoption of secure, innovative technologies across government. We look forward to continuing to work closely with FedRAMP as an early adopter of FedRAMP 20x and accelerating our customers’ adoption of our solutions.” - From a Cloud Service Provider (CSP) | 「レガシー・テクノロジーの近代化、複雑なプロセスの合理化、オペレーションの改善に取り組む中で、政府の効率性とガバナンスの改善はすべての政府機関にとって不可欠である。GSAの新しいアプローチも例外ではない...FedRAMPを合理化することで、政府全体で安全で革新的なテクノロジーの採用を促進することができる。我々は、FedRAMP 20xのアーリーアダプターとしてFedRAMPと緊密に協力し続け、顧客のソリューション採用を加速させることを楽しみにしている。」 - クラウド・サービス・プロバイダ(CSP)から |
| “We would appreciate the ability to make changes without bureaucracy.” - From a CSP | "官僚的な手続きなしに変更できることを評価したい。」 - CSP から |
| “This is aligned to how compliance should be.” - From a CSP | "コンプライアンスのあるべき姿に合致している。」 - CSPから |
| “The concept of government as consumers rather than approvers represents a fundamental shift.” - From an Industry Trade Association | "政府が承認者ではなく、消費者であるというコンセプトは、根本的な転換を意味する。」 - 業界団体より |
| “It’s a step in the right direction.” - From a Third Party Assessment Association (3PAO) | "正しい方向への一歩である」 - サードパーティ・アセスメント協会(3PAO)より |
| For more information about FedRAMP 20x, please visit fedramp.gov, read the FedRAMP 20x blog post or download the FedRAMP 20x industry engagement kit. | FedRAMP 20x の詳細については、fedramp.gov を参照するか、FedRAMP 20x のブログ記事を読むか、FedRAMP 20x 業界エンゲージメント・キットをダウンロードしてください。 |
| ### | ### |
| About GSA: GSA provides centralized procurement and shared services for the federal government. GSA manages a nationwide real estate portfolio of over 360 million rentable square feet, oversees more than $110 billion in products and services via federal contracts, and delivers technology services that serve millions of people across dozens of federal agencies. GSA’s mission is to deliver the best customer experience and value in real estate, acquisition, and technology services to the government and the American people. For more information, visit GSA.gov and follow us at @USGSA. | GSA について: GSA は連邦政府に集中調達と共有サービスを提供している。GSAは、3億6,000万平方フィート以上の賃貸可能な全国的な不動産ポートフォリオを管理し、連邦政府との契約を通じて1,100億ドル以上の製品とサービスを監督し、数十の連邦政府機関にわたって数百万人にサービスを提供する技術サービスを提供している。GSAの使命は、不動産、取得、テクノロジー・サービスにおいて最高の顧客体験と価値を政府と米国民に提供することである。詳細については、GSA.govを参照し、@USGSAでフォローしてほしい。 |
● FedRAMP
| FEDRAMP 20X | FEDRAMP 20X |
| FedRAMP 20x describes key goals for a new assessment process that will be designed by FedRAMP in collaboration with industry stakeholders and agency experts. Community Working Groups will drive industry innovation to provide the solution. | FedRAMP 20x は、FedRAMP が業界の利害関係者や省庁の専門家と協力して設計する新たなアセスメント・プロセスの主要目標を示している。コミュニティ・ワーキング・グループが業界のイノベーションを推進し、ソリューションを提供する。 |
| These five key goals include: | これら5つの主要目標は以下の通りである: |
| 1. Make it simple to automate the application and validation of FedRAMP security requirements. | 1. FedRAMPセキュリティ要件の適用と妥当性確認を簡単に自動化する。 |
| 80%+ of requirements will have automated validation without the need to write a single word about how it works, compared to 100% of current controls requiring narrative explanations | 説明的な説明を必要とする現行の管理手法が100%であるのに対して、80%以上の要件は、その仕組みについて一言も書く必要なく、自動的な妥当性確認が行われるようになる |
| Technical controls will make sense and match standard configuration choices | 技術的な管理手法が理にかなったものとなり、標準的な構成の選択肢に合致するようになる |
| Industry will provide solutions and competition for varying business needs with FedRAMP aligning standards | 業界は、FedRAMPが標準に整合することで、さまざまなビジネスニーズに対するソリューションと競合を提供するようになる |
| 2. Leverage existing industry investments in security by inheriting best-in-class commercial security frameworks. | 2. クラス最高の商用セキュリティ枠組みを継承することで、セキュリ ティに対する業界の既存の投資を活用する。 |
| New documentation required for FedRAMP will be reduced to a few pages if companies provide existing security policies, change management policies, and other documentation | 企業が既存のセキュリティ方針、変更管理方針、その他の文書を提供すれば、FedRAMP に新たに要求される文書は数ページに削減される |
| Community working groups will design optional templates that can be modified by companies to provide the foundation for remaining requirements with the approval of FedRAMP | コミュニティのワーキンググループは、FedRAMP の承認を得て、企業が修正可能なオプションのテンプレートを設計し、残りの要件の基礎を提供する |
| Industry will provide tools to document complex technical systems by code, not narrative, that meet FedRAMP standards | 業界は、FedRAMP 標準に適合する、説明ではなくコードによる複雑な技術システムを文書化するツールを提供する |
| 3. Continuously monitor security decisions using a simple, hands-off approach. | 3. シンプルなハンズオフアプローチを用いて、セキュリティの継続的なモニタリングを行う。 |
| Industry partners will provide continuous simple standardized machine readable validation of the things that really matter | 業界パートナーは、本当に重要な事柄について、シンプルで標準化された機械可読の妥当性確認を継続的に提供する |
| Automated enforcement and secure-by-design principles will prevent mistakes or bad decisions | 自動化された実施とセキュアバイデザインの原則により、ミスや誤った決定を防止する |
| Community working groups will collaborate with FedRAMP to ensure a consistent approach across industry | コミュニティのワーキンググループはFedRAMPと協力して、業界全体で一貫したアプローチを確保する |
| 4. Build trust between industry and federal agencies by leaning into the direct business relationships between providers and customers. | 4. プロバイダと顧客との間の直接的なビジネス関係に傾注することで、業界と連邦政府機関との間の信頼を構築する。 |
| Cloud service providers and agencies will interact directly over established business channels to review and maintain security | クラウド・サービス・プロバイダと連邦政府機関は、確立されたビジネス・チャネルを通じて直接対話し、セキュリティのレビューと維持を行う |
| Industry trade groups can band together to establish shared procedures that work best for them, or companies can set out alone, as long as minimum requirements set by FedRAMP are met | 業界の業界団体は、FedRAMP が定める最低限の要件を満たす限り、結束して自社に最適な共有手順を確立することも、企業が単独で着手することもできる |
| Businesses will maintain control of their intellectual property and make their own decisions on how it can be shared | 企業は知的財産の管理を維持し、その共有方法について自ら決定する |
| 5. Enable rapid continuous innovation without artificial checkpoints that halt progress. | 5. 進歩を止める人為的なチェックポイントを設けることなく、迅速で継続的なイノベーションを可能にする。 |
| Industry will implement enforcement systems that ensure security is constantly in place; annual assessments will be replaced by simple automated checks | 産業界は、セキュリティが常に確保されていることを保証する実施システムを導入する。毎年のアセスメントは、単純な自動チェックに取って代わられる |
| Significant changes that follow an approved established business process won’t require additional oversight | 承認された確立されたビジネスプロセスに従った大幅な変更は、追加の監視を必要としない |
| Industry will help FedRAMP establish clear, consistent guidelines for making big changes that level the playing field between companies without ghost regulations | 産業界は、FedRAMPが、幽霊のような規制なしに企業間の競争条件を平準化するような大きな変更を行うための明確で一貫したガイドラインを確立するのを支援する。 |
・FedRAMP 20x Community Working Groups
・・[PDF] FedRAMP 20x One Pager
| FedRAMP 20X | FedRAMP 20X |
| FedRAMP 20x offers a cloudnative continuous security assessment that’s as simple as your cloud service offering. | FedRAMP 20x は、クラウド・サービスと同じくらいシンプルな、クラウドネイティブな継続的セキュリティ・アセスメントを提供する。 |
| FedRAMP 20x Overview | FedRAMP 20x の概要 |
| Modernization begins today. FedRAMP 2025 is a revolutionary approach to how government should engage with industry. We're removing blockers and streamlining processes for simpler, easier and cheaper cloud adoption. | モダナイゼーションは今日から始まる。FedRAMP 2025は、政府が産業界とどのように関わるべきかについての画期的なアプローチである。クラウドの導入をよりシンプルに、より簡単に、より安価にするために、阻害要因を取り除き、プロセスを合理化する。 |
| 2025 Mission | 2025 ミッション |
| FedRAMP is a government-wide program that sets the standards and policies to galvanize private innovation to create best-in-class secure cloud solutions. | FedRAMPは政府全体のプログラムであり、民間のイノベーションを活性化し、クラス最高のセキュアなクラウド・ソリューションを生み出すための標準とポリシーを定める。 |
| What’s Changing For Cloud Providers | クラウドプロバイダーにとって何が変わるか |
| ⦁ Agency sponsorship will not be necessary because authorization will be simple | ⦁ 認可がシンプルになるため、行政機関のスポンサーシップは不要になる |
| ⦁ Use existing security certifications to prove system security standards are met | ⦁ システムのセキュリティ基準を満たしていることを証明するために、既存のセキュリティ認証を利用する |
| ⦁ Choose what you want to offer and let the agency choose | ⦁ 提供したいものを選択し、行政機関に選択させる |
| ⦁ Authorizations will take weeks instead of months and years | ⦁ 認可には数カ月や数年ではなく、数週間になる |
| ⦁ Work independently with an agency after cloud offering adoption | ⦁ クラウドオファーの採用後は、行政機関と独立して仕事をする |
| ⦁ Continuous monitoring will be decentralized and will happen on your terms | ⦁ 継続的な監視は非中央集権化され、顧客の条件で行われる |
| How Cloud Providers Will Benefit | クラウドプロバイダーはどのような恩恵を受けるか |
| Reducing duplicative efforts and minimizing documentation saves you time and money | 重複する取り組みを減らし、文書化を最小限に抑えることで、時間と費用を節約できる |
| Open forum for innovation to deliver cloud services for the American taxpayer | 米国の納税者のためにクラウドサービスを提供するイノベーションのためのオープンフォーラム |
| Greater ROI for adding new services to the FedRAMP Marketplace quickly | 新しいサービスをFedRAMPマーケットプレイスに迅速に追加することで、ROIがより大きくなる。 |
・FedRAMP 20x Industry Engagement Kit
| FedRAMP 20x FAQs | FedRAMP 20x FAQs |
| What happens to the current FedRAMP process? | 現在の FedRAMP プロセスはどうなるのか? |
| Cloud Service Providers and federal agencies may continue to work together to perform “sponsored” FedRAMP Agency Authorizations against traditional FedRAMP Rev5 baselines and FedRAMP will accept these authorizations until a formal end-of-life timeline is announced. This means: | クラウド・サービス・プロバイダと連邦政府機関は、従来のFedRAMP Rev5ベースラインに対して「スポンサー付き」FedRAMP機関認可を実施するために協力し続けることができ、FedRAMPは、正式な終了時期が発表されるまで、これらの認可を受け入れる。これは、次のことを意味する: |
| The FedRAMP PMO and Board will not provide updated technical assistance or guidance for implementation of the Rev5 baselines after March 2025. | FedRAMP PMO と理事会は、2025 年 3 月以降、Rev5 ベースラインの実施に関する最新の技術支援やガイダンスを提供しない。 |
| The FedRAMP PMO will stop performing in depth “triple check” reviews of FedRAMP Rev5 packages after March 2025. Agencies will be expected to review the package in depth and make their own risk assessment without the opinion of the PMO. | FedRAMP PMO は、2025 年 3 月以降、FedRAMP Rev5 パッケージの詳細な「トリプルチェック」レビューの実施を停止する。アセスメントは、PMOの意見なしに、パッケージを詳細にレビューし、独自のリスクアセスメントを行うことが期待される。 |
| The FedRAMP PMO will halt the limited centralized continuous monitoring of former JAB-authorized FedRAMP Rev5 cloud service offerings after March 2025 and authorizing agencies will be responsible for monitoring. A Community Working Group will coordinate with industry to update this process. | FedRAMP PMOは、2025年3月以降、旧JAB認可のFedRAMP Rev5クラウド・サービスの限定的な集中継続監視を停止し、作成機関が監視の責任を負う。コミュニティ・ワーキング・グループは、このプロセスを更新するために産業界と調整する。 |
| What is FedRAMP 20x? | FedRAMP 20xとは何か? |
| FedRAMP 20x is an initiative to partner with industry to build a cloud-native continuous security assessment that’s as simple as your cloud service offering - or as complex as needed. This new approach seeks to evaluate the outcomes of automated monitoring and enforcement of commercial security best practices to meet the minimum security requirement for federal information systems. | FedRAMP 20xは、クラウド・ネイティブな継続的セキュリティ・アセスメントを構築するために、産業界と提携するイニシアティブである。この新しいアプローチは、連邦情報システムの最低セキュリティ要件を満たすために、商用セキュリティのベスト・プラクティスを自動監視・実施した結果を評価しようとするものである。 |
| Why this and why now? | なぜ今なのか? |
| We’ve heard your feedback that the FedRAMP authorization process is too expensive, time-consuming, and challenging. GSA is dedicated to bringing more cloud services to government while effectively managing risks. As part of the Trump-Vance transition towards increased government efficiency, we are transitioning away from costly, inefficient, manually compiled documentation and towards industry-led, data-driven security reporting. | 我々は、FedRAMP認可プロセスがあまりにも高価で、時間がかかり、困難であるという意見を聞いてきた。ガバナンスは、リスクを効果的にマネジメントしながら、より多くのクラウド・サービスを政府に提供することに専念している。政府の効率化に向けたガバナンスの一環として、我々は、高価で非効率的な手作業で作成された文書から、業界主導のデータ主導のセキュリティ報告へと移行しつつある。 |
| What are the next steps? When will FedRAMP 20x be implemented? | 次のステップは何か?FedRAMP 20x はいつ実施されるのか? |
| Technical assistance and guidance for FedRAMP 20x will be formalized on a rolling basis as the pilot is validated by the Community Working Groups. Each piece of guidance will go through formal public comment before it is made official and open to use by industry and other agencies. | FedRAMP 20x のための技術支援とガイダンスは、コミュニティ・ワーキング・グループによる試験的な妥当性確認が進むにつれて、順次正式化される予定である。各ガイダンスは、正式なパブリック・コメントを経てから、産業界や他の機関が利用できるようになる。 |
| What about existing FedRAMP authorized cloud service offerings? | 既存のFedRAMP認可クラウド・サービスはどうなるのか? |
| All currently authorized cloud service offerings will be designated as FedRAMP Rev. 4 or Rev. 5 Authorized until they update to a newer 2025 or higher baseline. | 現在認可されているクラウド・サービスはすべて、新しい2025年またはより高いベースラインに更新されるまでは、FedRAMP Rev. 4またはRev. 5 Authorizedとして指定される。 |
| I’m a new cloud provider. How do I get authorized today? | 私は新しいプロバイダだ。どうすれば認可されるのか? |
| The only available route to FedRAMP authorization today is the Rev. 5 Agency Authorization path outlined on the FedRAMP website: [web] | 現在FedRAMP認可を受けることができる唯一のルートは、FedRAMPのウェブサイト(web )で説明されているRev.5の認可機関パスである。 |
| Will FedRAMP 20x remain the same in 2026, 2027, etc.? | FedRAMP 20x は 2026 年、2027 年などでも変わらないのか? |
| FedRAMP will be continuously improved and updated on a yearly basis. FedRAMP 20x is initially focused on cloud-native software-as-a-service, deployed on an existing FedRAMP Authorized cloud service offering using entirely or primarily cloud-native services, with minimal or no third party cloud interconnections. | FedRAMP は継続的に改善され、毎年更新される。FedRAMP 20xは当初、クラウド・ネイティブなSaaSに焦点を当て、既存のFedRAMP認可クラウド・サービス上に展開され、クラウド・ネイティブなサービスを完全に、あるいは主に使用し、サードパーティーのクラウド相互接続は最小限、あるいは全くないものとする。 |
| What if I’m not able to join a Community Working Group? Can I still provide feedback? | コミュニティ・ワーキンググループに参加できない場合はどうすればよいのか?それでもフィードバックを提供できるか? |
| Absolutely; while the Community Working Groups will work to validate initial ideas and encourage adoption, there will be an opportunity to share your feedback on any draft guidance during the formal public comment period. This approach allows room for continuous iterations before the first phase of FedRAMP 2025 launches. | コミュニティ・ワーキンググループは、初期のアイデアを妥当性確認し、採用を促進するために活動するが、正式なパブリックコメント期間中に、ドラフトガイダンスに対するフィードバックを共有する機会が設けられる。このアプローチにより、FedRAMP 2025の第一段階が開始される前に、継続的な反復を行う余地が生まれる。 |
| How will it work for a cloud service provider currently in the authorization pipeline? | 現在認可パイプラインにあるクラウド・サービス・プロバイダにとってはどうなるのか? |
| Cloud service providers and federal agencies may continue to work together to perform “sponsored” FedRAMP Agency Authorizations against traditional FedRAMP Rev. 5 baselines and FedRAMP will accept these authorizations until a formal end-of-life timeline is announced. However, FedRAMP will not provide updated technical assistance or guidance for implementation of the Rev. 5 baselines. Agencies will be expected to review the package in depth and independently make their own risk assessment. | クラウド・サービス・プロバイダと連邦政府機関は、従来のFedRAMP Rev.5ベースラインに対して「スポンサー付き」FedRAMP機関認可を実施するために協力し続けることができ、FedRAMPは正式な終了時期が発表されるまでこれらの認可を受け入れる。しかし、FedRAMP は、Rev.5 ベースラインの実施に関する最新の技術支援やガイダンスを提供しない。アセスメントは、このパッケージを詳細に検討し、独自にリスクアセスメントを行うことが期待される。 |
| How can I be sure to get notified of FedRAMP 20x changes? | FedRAMP 20x の変更の通知を確実に受け取るにはどうしたらよいか? |
| FedRAMP believes in transparency and open collaboration. Be sure to follow along with our progress on GitHub link and through our Change Log on fedramp.gov/changelog. | FedRAMP は透明性とオープンなコラボレーションを信条としている。GitHubのリンクやfedramp.gov/changelogの変更履歴で、進捗をフォローしてほしい。 |
| Will new cloud service providers need an agency “sponsor”? | 新しいクラウド・サービス・プロバイダは「スポンサー」を必要とするのか? |
| FedRAMP 20x involves submitting both documentation and automated validation directly to FedRAMP before the cloud service offering is added to the FedRAMP Marketplace for hundreds of agencies to choose from. Once in the marketplace it will be up to agencies using a cloud service offering to authorize operation of the service as usual. | FedRAMP 20xでは、クラウドサービスがFedRAMP Marketplace に追加され、何百もの機関から選択できるようになる前に、文書と自動妥当性確認の両方をFedRAMPに直接提出することになる。マーケットプレイスに登録された後は、クラウドサービスを利用する機関が通常通りサービスの運用を認可することになる。 |
・2025.03.24 Official Blog: FedRAMP in 2025
| FedRAMP in 2025 | FedRAMP in 2025 |
| Last year FedRAMP underwent a major overhaul after more than a decade. The biggest change took place behind the scenes as the Program Management Office (PMO) onboarded an impressive cohort of federal technical experts for the first time. This team of federal security experts, platform and software engineers, data scientists, and communication strategists are backed by individuals with proven experience in leadership that have built cloud services and managed actual security programs. | 昨年、FedRAMPは10年以上ぶりに大改革を行った。最大の変化は舞台裏で行われ、プログラム・マネジメント・オフィス(PMO)が連邦政府の技術専門家からなる素晴らしい集団を初めて迎え入れたことだ。連邦政府のセキュリティ専門家、プラットフォーム・エンジニア、ソフトウェア・エンジニア、データ・サイエンティスト、コミュニケーション・ストラテジストで構成されるこのチームは、クラウド・サービスの構築や実際のセキュリティ・プログラムの管理でリーダーシップを発揮してきた経験豊富な人材に支えられている。 |
| It’s that foundation of expert staff that will ensure a successful transformation of FedRAMP into a streamlined, automation-driven compliance framework that accelerates secure cloud adoption across federal agencies while leveraging modern technologies to minimize bureaucracy and maximize efficiency in 2025. | FedRAMPを合理化された自動化主導のコンプライアンスフレームワークへと転換させ、連邦政府機関全体で安全なクラウドの導入を加速させるとともに、最新のテクノロジーを活用して官僚主義を最小限に抑え、2025年の効率を最大化することを確実にするのは、このような専門スタッフの基盤なのだ。 |
| Here’s what you need to know about the continued evolution of FedRAMP up front: | FedRAMPの継続的な進化について、前もって知っておくべきことは以下の通りだ: |
| 1. The existing Agency Authorization path based on FedRAMP Rev. 5 baselines is the sole active path to FedRAMP authorization. No changes to this path are planned at this time. Companies and agencies that have active investments in achieving FedRAMP authorization via this path are encouraged to evaluate the progress of FedRAMP’s efficiency improvement initiatives to make their own informed decisions. | 1. FedRAMP Rev.5ベースラインに基づく既存の作成機関認可パスは、FedRAMP認可への唯一の有効なパスである。現時点では、このパスへの変更は予定されていない。このパスを通じてFedRAMP認可を取得するために積極的な投資を行っている企業や機関は、FedRAMPの効率改善イニシアチブの進捗状況を評価し、十分な情報に基づいた決定を行うことが推奨される。 |
| 2. FedRAMP will collaborate publicly with industry and other stakeholders to build and iteratively improve a new authorization process that is designed to be cloud-native and simple to automate, allowing companies to continuously and efficiently validate the underlying security of their services. This new framework, FedRAMP 20x, will be updated yearly to encourage ongoing improvements in security. | 2. FedRAMPは、クラウドネイティブで自動化が簡単な新しい認可プロセスを構築し、反復的に改善するために、業界やその他の利害関係者と公に協力する。この新しい枠組みFedRAMP 20xは、セキュリティの継続的改善を促すために毎年更新される。 |
| 3. FedRAMP will not build on the old ways to consolidate resources and services that turn FedRAMP into a slow bureaucratic behemoth operating on behalf of the entire government. Instead, FedRAMP will clear the way for the development of new paths that focus on true security and eliminate the inefficiencies, making central services unnecessary. FedRAMP will set the standards and policies that enable private innovation to create the solution. | 3. FedRAMPは、FedRAMPを政府全体を代表して運営する遅い官僚的巨大組織にしてしまうような、リソースとサービスを統合する古い方法を土台にするものではない。その代わりに、FedRAMPは真のセキュリティに焦点を当て、非効率性を排除し、中央サービスを不要にする新しい道を開発する道を開く。FedRAMPは、民間のイノベーションが解決策を生み出すことを可能にする標準とポリシーを設定する。 |
| 4. The new FedRAMP PMO is a much smaller team with all efforts focused on maximizing efficiency. We are now focused on clearing the agency authorization backlog and providing technical assistance and community support to set standards that enable private innovation to provide the solution. Nearly all other previously discussed work has been stopped. | 4. 新しいFedRAMP PMOは、効率性を最大化することに全力を注ぐ、はるかに小規模なチームである。我々は現在、作成機関の認可の滞りを解消し、民間のイノベーションがソリューションを提供できるようにする標準を設定するための技術支援とコミュニティ支援を提供することに集中している。以前議論されたその他の作業はほぼすべて中止された。 |
| Stay informed through definitive resources | 決定的な情報源を通じて常に情報を得る |
| FedRAMP will continue to share information publicly through our website, working groups, speaking events, and formal requests for comment. Stakeholders are strongly encouraged to rely on these official sources for accurate, up-to-date information. Third parties discussing FedRAMP are strongly encouraged to link directly to these official resources to avoid confusion: | FedRAMPは、ウェブサイト、作業部会、講演会、正式な意見要求などを通じて、引き続き情報を公開していく。関係者は、正確な最新情報については、これらの公式情報源を信頼することが強く推奨される。FedRAMPについて議論するサードパーティは、混乱を避けるため、これらの公式リソースに直接リンクすることが強く推奨される: |
| The FedRAMP 20x page provides information about our work to create a new authorization process, information on pilot eligibility, and next steps | FedRAMP 20x のページでは、新しい認可プロセスを作成するための私たちの作業、試験的資格に関する情報、および次のステップに関する情報を提供する |
| The Community Working Groups page shares high-level information about our public engagement and collaboration plans | コミュニティ作業部会のページでは、私たちのパブリック・エンゲージメントとコラボレーション計画に関するハイレベルな情報を共有する |
| The FedRAMP 20x Engagement page tracks future and past public events, press coverage, and podcast interviews | FedRAMP 20x のエンゲージメントのページでは、将来および過去のパブリック・イベント、報道、ポッドキャスト・インタビューを追跡する |
| The FedRAMP 20x Frequently Asked Questions page tracks official answers to commonly asked questions about FedRAMP 20x | FedRAMP 20x のよくある質問のページでは、FedRAMP 20x に関するよくある質問に対する公式回答を追跡する |
| The Changelog page tracks significant information updates all in one place | 変更履歴 のページでは、重要な情報の更新を一箇所にまとめて追跡する |
| To view GSA’s official press announcement regarding the upcoming changes to FedRAMP, see here. | FedRAMP の今後の変更に関する GSA の公式報道発表を見るには、ここを参照のこと。 |
2025.03.23 Federal News Network: GSA’s overhaul of FedRAMP contingent on automation
2025.03.20 Nextgov/FCW: FedRAMP to announce major overhaul next week
● NIST
・OSCAL: the Open Security Controls Assessment Language
AMAZONのOSCAL対応の件
● AMAZON AWS - AWS Security Blog
・2022.06.30 AWS achieves the first OSCAL format system security plan submission to FedRAMP
AMAZON AWSが対応をしている監査プログラム...
日本語です...
・コンプライアンスプログラムによる対象範囲内の AWS のサービス
● まるちゃんの情報セキュリティ気まぐれ日記
OSCAL
・2024.07.22 米国 これからはFedRampも含めて監査は自動化 (automate.fedramp.gov) !キーワードはOSCAL
・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書
・2024.04.22 内部監査人協会 意見募集 トピック別要求事項:サイバーセキュリティ (2024.04.11)
・2024.04.02 米国 FedRAMPの新しいロードマップ(2024-2025)
・2024.03.05 NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング: サイバーセキュリティとプライバシーの概念マッピングの開発 (2024.02.26)
・2023.08.21 米国 NIST 重要なハイテク産業における米国の競争力に関する報告書
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2020.07.16 JIPDEC ”米国のプライバシー保護に関する動向”
« 欧州理事会 欧州米国間貿易:現実と数字 (2025.04.04) | Main | WIPO 世界知的所有権機関 ウェブサイト・ブロッキング命令の有効性と法的・技術的手段に関する研究 (2024.12.31) »
Comments