米国 FedRAMP20X フェーズ１パイロット (20Xp1) (2025.05.30)

こんにちは、丸山満彦です。

日本政府がクラウド事業者のサービスを利用するためには、ISMAP制度に基づく承認が必要なわけですが、コストがかかりすぎるので、結局資本力のある米国のクラウドサービスが有利になってしまっている（軽い制度を作ったものの結局あまりかわらない...）ということで抜本的な改革が必要ということで、改訂作業がすすんでいるものと思います。

これはもとになった米国のFedRAMP制度も同じです。彼らは300以上のクラウドサービスが登録されていますが、評価にコストがかかって大変なので、20倍効率よくできる仕組みを考えようということで、FedRAMP20Xというプロジェクトが進んでいます...

ちなみに、FedRAMP20Xは機械可読を前提としているので、資料も機械可読です(^^)

 

 

● FedRAMP

・2025.05.30 The FedRAMP 20x Phase One pilot (20xP1)

The FedRAMP 20x Phase One pilot (20xP1)	FedRAMP 20x フェーズ1 パイロット（20xP1）
The 20xP1 pilot is testing a new approach to FedRAMP Low authorization that uses Key Security Indicators (KSIs) and machine-readable validation to assess and validate the security capabilities expected of cloud services used by the federal government.	20xP1 パイロットは、連邦政府が利用するクラウドサービスに求められるセキュリティ機能をアセスメント・妥当性確認するため、キーセキュリティ指標（KSI）と機械可読検証を活用する新たな FedRAMP Low 認可アプローチの試験を実施している。
This pilot is open to the public. Any cloud-native SaaS provider may participate. No agency sponsor is needed. Qualifying cloud service offerings that successfully complete Phase One will receive a 12 month FedRAMP Low program authorization and will be prioritized for FedRAMP Moderate program authorization in Phase Two.	このパイロットは一般公開されており、クラウドネイティブのSaaSプロバイダであれば、どなたでも参加できる。機関スポンサーは不要である。フェーズ1を成功裏に完了した適格なクラウドサービスは、12か月のFedRAMP Lowプログラム認可を取得し、フェーズ2におけるFedRAMP Moderateプログラム認可の優先対象となる。
The 20xP1 pilot is iterative, transparent, collaborative, and refreshingly unstructured to encourage rapid innovation. We will:	20xP1パイロットは、迅速なイノベーションを促進するため、反復的、透明性が高く、協働的で、柔軟な構造となっています。私たちは以下のことを行う：
Demonstrate Feasibility: Prove that Key Security Indicators and machine-readable validation can effectively assess security.	実現可能性の証明：Key Security Indicators（KSI）と機械可読妥当性確認がセキュリティを効果的に評価できることを証明する。
Accelerate Authorizations: Create a faster path to FedRAMP authorization.	承認の加速：FedRAMP認可へのより迅速な経路を確立する。
Drive Innovation: Encourage innovative security assessment and validation techniques.	イノベーションの促進：革新的なセキュリティアセスメントと妥当性確認手法を奨励する。
Improve Transparency: Increase transparency in the authorization process.	透明性の向上：承認プロセスの透明性を高める。
Dates and Milestones	日程とマイルストーン
Date	日付
Milestone	マイルストーン
2025/5/30	2025/5/30
The 20xP1 pilot officially begins and FedRAMP begins accepting pilot submissions.	20xP1 パイロットが正式に開始され、FedRAMP がパイロットの申請受付を開始する。
2025/8/19	2025/8/19
The final day FedRAMP will accept 20xP1 pilot submissions.	FedRAMP が 20xP1 パイロットの申請受付を終了する最終日。
Once FedRAMP has completed review of all submissions during the 20xP1 pilot, the FedRAMP 20x Low authorization requirements will be formalized and this path will become available for all cloud service providers. Participants who have worked to create FedRAMP 20x packages during the pilot but were unable to submit on time will be well positioned to receive a formal FedRAMP 20x authorization.	FedRAMP が 20xP1 パイロット期間中のすべての提出物の審査を完了すると、FedRAMP 20x Low 認可要件が正式に策定され、この経路がすべてのクラウドサービスプロバイダに利用可能になる。パイロット期間中に FedRAMP 20x パッケージの作成に取り組んだものの、期限内に提出できなかった参加者は、正式な FedRAMP 20x 認可を取得する上で有利な立場に立つことになる。
Participation	参加
Participation is self-organized and self-directed. Participants should:	参加は自主的かつ自主的なものです。参加者は以下の事項を実施すること：
・Read this page, as well as more detailed information on the Authorization page	・このページおよび認可ページの詳細な情報を確認すること
・Review the Key Security Indicators and Minimum Assessment Scope	・主要なセキュリティ指標と最小アセスメント範囲を確認すること
・Consider how well your current security process aligns with the Key Security Indicators	・現在のセキュリティプロセスが主要なセキュリティ指標とどの程度一致しているかを検討すること
・Engage in our 20x community working group	・20xコミュニティ作業グループに参加すること
・Review the draft submissions posted in the community discussion forum, as well as FedRAMP’s feedback	・コミュニティディスカッションフォーラムに投稿されたドラフト提出物およびFedRAMPのフィードバックを確認すること
Participants have equal access to all information about the pilot by reviewing the additional materials on this site and in the public working groups. It’s important that you read this information so you can make the best decisions about how to move forward on your own.	参加者は、このサイトおよび公開ワーキンググループに掲載されている追加資料を確認することで、パイロットに関するすべての情報に平等にアクセスできる。この情報を確認し、自社の進め方について最善の判断を下すことが重要である。
Community Working Groups: The Heart of 20x	コミュニティワーキンググループ：20x の中心
To ensure equal and fair access to information, FedRAMP is only providing support in the public FedRAMP 20x Community Working Group. It serves as the central hub for collaboration, discussion, and support for the 20xP1 pilot, where you can ask questions, share insights, and learn from others.	情報への平等かつ公正なアクセスを確保するため、FedRAMP は公開の FedRAMP 20x コミュニティワーキンググループでのみサポートを提供している。これは、20xP1パイロットに関するコラボレーション、議論、サポートの中心的ハブとして機能し、質問をしたり、洞察を共有したり、他者から学ぶことができる場である。
Formal submissions should be made directly to FedRAMP following the process outlined below, however we encourage sharing of draft submissions publicly in the 20x Community Working Group to enable transparency, collaboration, and collective innovation. Sharing your experiences and insights benefits the entire community.	正式な提出物は、以下の手順に従ってFedRAMPに直接提出する必要があるが、透明性、コラボレーション、集団的イノベーションを促進するため、20xコミュニティワーキンググループでドラフトを共有することを推奨する。経験や洞察を共有することは、コミュニティ全体に利益をもたらす。
The 20xP1 Authorization Process	20xP1 認可プロセス
The authorization process begins when a cloud service provider submits an initial 20x authorization request package to FedRAMP. Participants should expect a multi-step collaborative process with additional work required to continue through the process towards final authorization. This process will likely entail:	認可プロセスは、クラウドサービスプロバイダが FedRAMP に最初の 20x 認可リクエストパッケージを提出することで開始される。参加者は、最終認可に向けてプロセスを進めるために追加の作業が必要な多段階の協働プロセスを想定していただく必要がある。このプロセスには以下の内容が含まれる見込みだ：
1. Initial Submission: You submit a comprehensive package that meets the submission requirements, including a completed 3PAO assessment.	1. 初期提出：提出要件を満たす包括的なパッケージ（完了した 3PAO アセスメントを含む）を提出する。
2. Initial Review: FedRAMP reviews your initial submission and reaches out with feedback or next steps.	2. 初期レビュー：FedRAMP は初期提出物を審査し、フィードバックや次のステップについて連絡する。
3. Collaborative Review: FedRAMP hosts a technical discussion with you and your 3PAO to dig into the package in more detail, learn about your approach, and get feedback on the process from you and your 3PAO.	3. 協働レビュー：FedRAMP は、あなたとあなたの 3PAO と技術的な議論を主催し、パッケージの詳細を掘り下げ、あなたのアプローチを理解し、あなたとあなたの 3PAO からプロセスに関するフィードバックを収集する。
4. Congrats! FedRAMP In Process: If your package qualifies, your cloud service is listed on the FedRAMP Marketplace as In Process. To move towards full authorization, you will need to meet any outstanding requirements identified during review.	4. おめでとう！FedRAMP審査中：パッケージが要件を満たした場合、クラウドサービスはFedRAMPマーケットプレイスに「審査中」として掲載されます。完全な認可を取得するためには、審査で識別された未履行要件を満たす必要があります。
5. Final Authorization Submission: You submit a complete authorization package that meets all outstanding requirements for authorization, mapped to the latest KSI release versions.	5. 最終認可提出：認可のためのすべての未履行要件を満たし、最新のKSIリリースバージョンにマッピングされた完全な認可パッケージを提出する。
6. Comprehensive Review & Exercises: The FedRAMP review team conducts further discussions with you and your 3PAO which include tabletop exercises.	6. 総合的なレビューと演習：FedRAMPレビューチームは、あなたと3PAOとの追加の議論を実施し、机上演習を含む。
7. Congrats! FedRAMP Authorized: If your package qualifies, your cloud service is listed on the FedRAMP Marketplace as FedRAMP 20x Low Authorized for twelve months.	7. おめでとう！FedRAMP認可：パッケージが要件を満たした場合、クラウドサービスはFedRAMPマーケットプレイスに「FedRAMP 20x Low認可」として12ヶ月間掲載される。
8. Ongoing Authorization: Continuous monitoring, regular reporting, and ongoing authorization are required to maintain your 20x Low authorization. Your authorization package will need to be updated to final FedRAMP 20x Low requirements within twelve months, and your cloud service will be prioritized for FedRAMP 20x Phase Two.	8. 継続的な認可：20x Low認可を維持するためには、継続的な監視、定期的な報告、および継続的な認可が必須です。認可パッケージは12ヶ月以内に最終的なFedRAMP 20x Low要件に更新する必要があり、クラウドサービスはFedRAMP 20xフェーズ2の優先対象となります。
Initial Submission Requirements	初期提出要件
Send an email to 20x@fedramp.gov that includes:	20x@fedramp.gov宛てにメールを送信し、以下の内容を記載すること：
・Summary of the cloud service provider and cloud service offering	・クラウドサービスプロバイダおよびクラウドサービス提供の概要
・Points of contact for the cloud service provider and 3PAO	・クラウドサービスプロバイダおよび3PAOの連絡先
・Instructions on how to access the initial submission package	・初期提出パッケージへのアクセス方法
The initial submission itself MUST NOT be sent through email. The initial submission MUST contain the following:	初期提出自体はメールで送信しないでください。初期提出には以下の内容を必ず含めてください：
・Summary of and rationale for the approach used to generate the submission	・提出生成に用いたアプローチの概要と理由
・Summary from a FedRAMP recognized 3PAO explaining the approach used for assessment	・FedRAMP認定3PAOによるアセスメントアプローチの説明
・Human-readable and machine-readable assessment	・人間が読み取れる形式と機械が読み取れる形式の評価
・・Include the status of each KSI Validation (True, False, Partial)	・・各KSI妥当性確認のステータス（True、False、Partial）を記載
・・Include supporting evidence or links to supporting evidence for each KSI Validation	・・各KSI妥当性確認に関する支援証拠または支援証拠へのリンクを記載
・・Evidence should include underlying information such as policies and inventories	・・証拠には、ポリシーや在庫リストなどの基礎情報を包含
・・Include integrated verification by a 3PAO	・・3PAOによる統合検証を記載
・Data definition or data schema that explains the machine-readable package	・機械が読み取れるパッケージを説明するデータ定義またはデータスキーマ
・Proposal or prototype for continuously reporting on a significant percentage of KSI Validations	・KSI妥当性確認の一定割合について継続的に報告するための提案またはプロトタイプ
Providers may submit an initial package using draft 25.04 (April release) KSIs from RFC-0006 but all participants will be expected to complete the Phase One pilot using the finalized KSIs in the formal 25.05 (May release) standard.	プロバイダは、RFC-0006のドラフト25.04（4月リリース）のKSIを使用して初期パッケージを提出できるが、すべての参加者は、正式な25.05（5月リリース）標準の最終化されたKSIを使用してフェーズ1パイロットを完了することが期待される。
Final Authorization Requirements	最終認可要件
The initial submission package focuses on demonstrating that a cloud service offering meets the security capabilities required for FedRAMP - but FedRAMP authorization requires a bit more to ensure agencies understand your offering and how to securely use it!	初期提出パッケージは、クラウドサービスがFedRAMPに必要なセキュリティ機能を満たしていることを示すことに重点を置いているが、FedRAMP認可を取得するには、機関がサービスの内容と安全な利用方法を理解するために、さらにいくつかの要件を満たす必要がある。
In addition to the Key Security Indicator based materials, you will need the following to move from In Process to a final FedRAMP 20x authorization:	Key Security Indicatorに基づく資料に加え、In Processから最終的なFedRAMP 20x認可に移行するには、以下の資料が必要である。
Trust Repository	Trust Repository
Provide a user-friendly, clearly organized repository that MUST contain:	ユーザーフレンドリーで明確に整理されたリポジトリを提供し、以下の内容を必ず含めること。
・Points of Contact for the cloud service provider and 3PAO	・クラウドサービスプロバイダと3PAOの連絡先
・Your authorization package materials	・認可パッケージ資料
・A means for FedRAMP and agencies to request access to the trust portal	・FedRAMPと機関が信頼ポータルへのアクセスをリクエストする手段
・Services included in the authorization (including any specific license requirements)	・認可に含まれるサービス（特定のライセンス要件を含む）
・Continuous monitoring reporting/documentation and supporting artifacts	・継続的な監視報告/文書化とサポート資料
・A place for POA&Ms, Significant Change Notifications, and Incident Reports	・POA&M、重大な変更通知、およびインシデント報告の保管場所
This repository may include helpful additional items such as:	このリポジトリには、以下の役立つ追加項目を含めることができる:
・Diagrams that help understand the cloud service offering and interpret the results of testing	・クラウドサービスの内容を理解し、テスト結果を解釈するのに役立つ図解
FedRAMP is working to establish formal requirements for trust centers that allow cloud service providers to make security information available directly to FedRAMP and other agency customers. A draft standard that includes Trust Center Requirements has been published for public comment under RFC-0011. This draft is a good starting point for prioritizing capabilities for your Trust Center.	FedRAMPは、クラウドサービスプロバイダーがセキュリティ情報をFedRAMPおよび他の機関顧客に直接提供できるようにする信頼センターに関する正式な要件の確立に取り組んでいる。信頼センター要件を含むドラフト標準がRFC-0011の下で公開され、パブリックコメントが募集されている。このドラフトは、信頼センターの機能優先順位付けの出発点として有用である。
Agency Secure Configuration Guidance	機関向けセキュアな構成ガイドライン
Provide instructions to help agencies securely configure an instance of your service for federal use. This should include best practices on configuring at least:	機関が連邦政府での使用のためにサービスのインスタンスをセキュアに構成するための手順を提供すること。これには、少なくとも以下の構成に関するベストプラクティスを含める必要があります。
・Federated Identity	・フェデレーテッド ID
・Role/Attribute based access control	・ロール/属性ベースのアクセス管理
・API integration	・API 統合
・Auditing & Logging	・監査とログ記録
Future Plans	今後の計画
You will need to address additional requirements for FedRAMP 20x as they are formalized during the Phase One pilot. Many of these are currently pending as open RFCs. We strongly recommend including a brief plan for how you will address at least the following:	フェーズ 1 パイロット中に正式化される FedRAMP 20x の追加要件に対応する必要があります。これらの多くは現在、オープン RFC として保留中である。少なくとも以下の事項について、対応計画の概要を記載することを強くお勧めする。
・Continuously validating and reporting on the validation status of your offering	・提供サービスの妥当性確認ステータスの継続的な検証と報告
・Making authorization materials available via API	・API 経由での認可資料の提供
・Handling Significant Change Notifications	・重大な変更通知の処理
・Hosting Collaborative Continuous Monitoring meetings	・共同継続的モニタリング会議の開催
Ongoing Authorization Requirements	継続的な認可要件
・Provide updated monitoring data during the course of the authorization	・認可期間中に更新されたモニタリングデータを提供すること
・Refine the service and documentation as 20x standards are finalized	・20x 標準が最終化されるにつれ、サービスとドキュメントを精緻化すること
・Correct any failing or partial validations during the 1 year initial authorization	・1年間の初期認可期間中に、失敗または部分的な妥当性確認を修正すること
Resources	リソース
FedRAMP 20x Standards The foundation of the 20x Phase One pilot. Most pilot deliverables center around applying validations for the Key Security Indicators within the Minimum Assessment Scope.	FedRAMP 20x 標準 20x フェーズ1パイロットの基盤。パイロットの主要な成果物は、最小アセスメント範囲内の主要セキュリティ指標に対する妥当性確認の適用を中心に構成されています。
FedRAMP 20x Guidance Additional information relating to the FedRAMP 20x Standards.	FedRAMP 20x ガイドライン FedRAMP 20x 標準に関する追加情報。
FedRAMP 20x Goals Key goals of the FedRAMP 20x authorization process.	FedRAMP 20x 目標 FedRAMP 20x 認可プロセスの主要な目標。
20x Community Working Group Discussions A discussion space to ask questions and share ideas related to 20x Phase One. Draft submissions and FedRAMP feedback can be found here.	20x コミュニティ作業グループ ディスカッション 20x フェーズ 1 に関する質問やアイデアを共有するためのディスカッション スペース。ドラフト提出物と FedRAMP のフィードバックはここにあります。
Pilot Participation Example An example of how a CSP might approach the pilot	パイロット参加例 CSP がパイロットにアプローチする例。

 

 

---

標準

・[GitHub] FedRAMP Machine-Readable (FRMR) Docs on GitHub

機械可読...

Materials	Human Readable Versions
Key Security Indicators (KSI)	Basic:
	Markdown
	PDF
	With Control References:
	Markdown
	PDF
Minimum Assessment Standard (MAS)	Markdown
	PDF
Significant Change Notification Requirements (SCN)	Markdown
	PDF
Combined 20x Low Pilot Requirements	Markdown
	PDF

 

 

---

FAQについてはこちら...

・FAQs

What happens to the current FedRAMP process?	現在の FedRAMP プロセスはどうなるのか？
What is FedRAMP 20x?	FedRAMP 20x とは何か？
Why this and why now?	なぜ今、この変更が必要なのか？
What are the next steps? When will FedRAMP 20x be implemented?	次のステップは何か？FedRAMP 20x はいつ実施されるのか？
What about existing FedRAMP authorized cloud service offerings?	既存の FedRAMP 認定クラウドサービスはどのようになるか？
I’m a new cloud provider. How do I get authorized today?	私は新しいクラウドプロバイダです。現在、認可を受けるにはどうすればよいか？
Will FedRAMP 20x remain the same in 2026, 2027, etc.?	FedRAMP 20xは2026年、2027年などでも同じままか？
What if I’m not able to join a Community Working Group? Can I still provide feedback?	コミュニティワーキンググループに参加できない場合はどうなるか？フィードバックを提供することはできるか？
How will it work for a cloud service provider currently in the authorization pipeline?	現在認可プロセス中のクラウドサービスプロバイダーにはどのように適用されるか？
How can I be sure to get notified of FedRAMP 20x changes?	FedRAMP 20xの変更について通知を受けるにはどうすればよいか？
Will new cloud service providers need an agency “sponsor”?	新しいクラウドサービスプロバイダーは機関の「スポンサー」が必要になるか？