| EXECUTIVE OFFICE OF THE PRESIDENT |
大統領行政府 |
| OFFICE OF MANAGEMENT AND BUDGET |
行政管理予算局 |
| WASHINGTON, D.C. 20503 |
ワシントン D.C. 20503 |
| THE DIRECTOR |
ディレクター |
| 27-Oct-23 |
10月27日-23日 |
| DRAFT FOR PUBLIC COMMENT |
パブリックコメント用ドラフト |
| MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES |
行政省庁の長に対する覚書 |
| FROM: SHALANDA D. YOUNG |
From: シャランダ・D・ヤング |
| SUBJECT: Modernizing the Federal Risk Authorization Management Program (FedRAMP) |
件名:連邦リスク認可マネジメント・プログラム(FedRAMP)の近代化 |
| The Federal Risk Authorization Management Program, known as FedRAMP, was established by the Office of Management and Budget (OMB) through a December 8, 2011 memorandum from the Federal Chief Information Officer, “Security Authorizations of Information Systems in Cloud Computing Environments,”1 to safely accelerate the adoption of cloud products and services by Federal agencies, and to help those agencies avoid duplicating effort by offering a consistent and reusable authorization process. |
FedRAMP として知られる連邦リスク認可管理プログラムは、2011 年 12 月 8 日付の連邦最高情報責任者(Federal Chief Information Officer)の覚書「クラウド・コンピューティング環境における情報システムのセキュリティ認可(Security Authorizations of Information Systems in Cloud Computing Environments)」1 を通じて、連邦政府機関によるクラウド製品やサービスの採用を安全に促進し、一貫性があり再利用可能な認可プロセスを提供することで、これらの機関が重複した労力を回避できるようにするために、OMB(Office of Management and Budget)によって設立された。 |
| In 2022, recognizing the value that FedRAMP has provided to Federal agencies and to industry, Congress passed the FedRAMP Authorization Act (“Act”). The Act established FedRAMP within the General Services Administration (GSA) and created a FedRAMP Board to provide input and recommendations to the Administrator of GSA.2 The Act also requires OMB to issue guidance defining the scope of FedRAMP, establishing requirements for the use of the program by Federal agencies, establishing further responsibilities of the FedRAMP Board andthe program management office (PMO) at GSA, and generally promoting consistency in the assessment, authorization, and use of secure cloud services by Federal agencies. |
2022 年、FedRAMP が連邦政府機関と業界にプロバイダとして提供した価値を認識し、連邦議会は FedRAMP 認可法(以下「同法」)を可決した。同法は、GSA(総務省)内にFedRAMPを設立し、GSA長官に意見と提言を提供するFedRAMP Boardを設置した2。同法はまたOMBに対し、FedRAMPの範囲を定義し、連邦政府機関によるプログラム利用の要件を定め、FedRAMP委員会とGSAのプログラム管理室(PMO)のさらなる責任を定め、一般的に連邦政府機関による安全なクラウドサービスの評価、認可、利用の一貫性を促進するガイダンスを発行するよう求めている。 |
| As a result, this memorandum rescinds the Federal Chief Information Officer’s December 8, 2011 memorandum, and replaces it with an updated vision, scope, and governance structure for the FedRAMP program that is responsive to developments in Federal cybersecurity and substantial changes to the commercial cloud marketplace that have occurred since the program was established. |
その結果、この覚書は2011年12月8日の連邦最高情報責任者の覚書を取り消し、それに代わって、連邦政府のサイバーセキュリティの進展と、プログラム設立後に生じた商用クラウド市場の大幅な変化に対応した、FedRAMPプログラムの最新のビジョン、スコープ、ガバナンス構造を示すものである。 |
| I. Background |
I. 背景 |
| Since its establishment in 2011, FedRAMP has operated by partnering with agencies and third-party assessors to identify appropriate cloud products and services, evaluate those cloud products and services against a common baseline of security controls, and create authorization packages that agency authorizing officials can use to make informed, risk-based, and efficient decisions concerning the use of those cloud products and services. |
2011年の設立以来、FedRAMPは各省庁およびサードパーティ評価機関と提携し、適切なクラウド製品・サービスを特定し、それらのクラウド製品・サービスを共通のセキュリティ管理基準に照らして評価し、各省庁の権限付与担当者がそれらのクラウド製品・サービスの使用に関して情報に基づいたリスクベースの効率的な決定を行うために使用できる権限パッケージを作成することで運営されてきた。 |
| At the beginning of the FedRAMP program, the Federal Government was focused on securely facilitating agencies’ use of commercially available infrastructure as a service (IaaS)— virtualized computing resources that are natively designed to be more scalable and automatable than traditional data center environments. In the years since, the commercial cloud marketplace has grown, especially in the area of software as a service (SaaS)—cloud-based applications made available over the internet. The COVID-19 pandemic only further accelerated the growth of the SaaS market, as shifts in the workplace landscape led more organizations to rely on remote collaboration tools for their workforce and to expand the online services they provide to their customers. |
FedRAMPプログラムの開始当初、連邦政府は政府機関が市販のIaaS(Infrastructure as a Service)-従来のデータセンター環境よりもスケーラブルで自動化できるように設計された仮想化コンピューティング・リソース-を安全に利用できるようにすることに重点を置いていた。それ以来、商用クラウド市場は成長し、特にSaaS(Software as a Service:インターネット上で利用可能なクラウドベースのアプリケーション)の分野で成長してきた。COVID-19の大流行は、SaaS市場の成長をさらに加速させた。職場環境のシフトによって、より多くの組織が労働力のためにリモート・コラボレーション・ツールに依存し、顧客に提供するオンライン・サービスを拡大するようになったからだ。 |
| Because Federal agencies require the ability to use more commercial SaaS products and services to meet their enterprise and public-facing needs, the FedRAMP program must continue to change and evolve. While an IaaS provider might offer virtualized computing infrastructure appropriate for general-purpose enterprise uses, SaaS providers typically offer more focused applications. A large agency might rely on only a few IaaS providers to accommodate its custom applications, but could easily benefit from hundreds of different SaaS tools for various collaboration and mission-specific needs. SaaS providers may also target highly tailored use cases that are only relevant to specific sectors and may not be useful to every agency, but which can significantly enhance the effectiveness of the agencies with missions in that sector. |
連邦政府機関は、エンタープライズや公共向けのニーズを満たすために、より多くの商用SaaS製品やサービスを利用する能力を必要としているため、FedRAMPプログラムは変化と進化を続けなければならない。IaaSプロバイダが汎用のエンタープライズ用途に適した仮想化コンピューティング・インフラを提供するのに対し、SaaSプロバイダは通常、より焦点を絞ったアプリケーションを提供する。大規模な機関では、カスタム・アプリケーションに対応するために数社のIaaSプロバイダしか利用しないかもしれないが、さまざまなコラボレーションやミッション固有のニーズに対しては、数百種類のSaaSツールから容易に利益を得ることができる。また、SaaSプロバイダは、特定の部門にのみ関連する、高度にカスタマイズされたユースケースをターゲットにしている場合があり、すべての機関に役立つとは限らないが、その部門のミッションを持つ機関の有効性を大幅に高めることができる。 |
| Beyond the changing cloud marketplace, the Federal Government has learned important cybersecurity lessons over the last decade that should be reflected in its approach to cloud security. Keeping a step ahead of adversaries requires the Federal Government to be an early adopter of innovative new approaches to cloud security offered and used by private sector platforms. Federal agencies all have finite resources to dedicate to cybersecurity, and must focus those resources where they matter the most. The use of commercial cloud services by Federal agencies is itself a major cybersecurity benefit, freeing up resources that would otherwise have to be dedicated to operating and maintaining in-house infrastructure. |
クラウド市場の変化だけでなく、連邦政府は過去10年間にわたり、クラウドセキュリティへのアプローチに反映させるべき重要なサイバーセキュリティの教訓を学んできた。敵の一歩先を行くには、連邦政府が、民間プラットフォームが提供・利用するクラウドセキュリティの革新的な新アプローチをいち早く採用する必要がある。連邦政府機関がサイバーセキュリティに割けるリソースは限られており、そのリソースを最も重要なところに集中させなければならない。連邦機関が商用のクラウド・サービスを利用することは、それ自体がサイバーセキュリティ上の大きなメリットであり、そうでなければ社内のインフラの運用と維持に専念しなければならないリソースを解放することになる。 |
| Similarly, the FedRAMP program must also focus its attention and engagement with industry on the security controls that lead to the greatest reduction of risk to Federal information and agency missions, grounding them in security expertise and real-world threat assessment. Prescribed compliance procedures can help maintain consistency and basic rigor, but it is important to emphasize that FedRAMP must first and foremost be a security program. To that end, FedRAMP must be an expert program that can analyze and validate the security claims of cloud service providers, while making risk management decisions that will determine the adequacy of a FedRAMP authorization for re-use within the Federal Government. |
同様に、FedRAMP プログラムは、セキュリティの専門知識と現実の脅威アセスメントに立脚して、連邦情報および省庁のミッションに対するリスクの最大限の低減につながるセキュリティ管理策に注目し、産業界との関与に重点を置かなければならない。規定のコンプライアンス手順は、一貫性と基本的な厳格さを維持するのに役立つが、FedRAMP は何よりもまずセキュリティ・プログラムでなければならないことを強調することが重要である。そのためには、FedRAMP はクラウド・サービス・プロバイダのセキュリティの主張を分析・検証できる専門家プログラムでなければならず、同時に連邦政府内で再利用するための FedRAMP 認可の十分性を判断するリスクマネジメントの判断も行わなければならない。 |
| Strategic changes to the FedRAMP program will ensure that it can enable the Federal Government to safely use the best of the commercial cloud marketplace for years to come. |
FedRAMPプログラムに戦略的な変更を加えることで、連邦政府が今後何年にもわたって商業クラウド市場の最良のものを安全に利用できるようになる。 |
| II. Vision |
II. ビジョン |
| The purpose of the FedRAMP program is to increase Federal agencies’ adoption of and secure use of the commercial cloud, while focusing cloud service providers and agencies on the highest value work and eliminating redundant effort. |
FedRAMPプログラムの目的は、連邦政府機関による商用クラウドの採用と安全な利用を増加させるとともに、クラウド・サービス・プロバイダと連邦政府機関を最も価値の高い業務に集中させ、冗長な作業を排除することである。 |
| To do this, FedRAMP provides a standardized, reusable approach to security assessment and authorization for cloud computing products and services. The FedRAMP program supports broader efforts to reduce the nation’s cybersecurity risks, contributing to a more stable technology ecosystem by incentivizing CSPs to make security improvements that protect all of their Federal customers. |
そのためにFedRAMPは、クラウドコンピューティング製品とサービスのセキュリティ評価と認可に標準化された再利用可能なアプローチを提供する。FedRAMP プログラムは、国のサイバーセキュリティ・リスクを軽減するための広範な取り組みを支援するものであり、連邦政府の顧客すべてを保護するセキュリティ改善を行うよう CSP にインセンティブを与えることで、より安定した技術エコシステムに貢献するものである。 |
| The goal of this guidance is to strengthen and enhance the FedRAMP program. FedRAMP has provided significant value to date, but the program must change to meet the needs of Federal agencies and address the scope of the cloud marketplace. The FedRAMP marketplace must scale dramatically to enable Federal agencies to work with many thousands of different cloud-based services that can accelerate key agency operations while allowing agencies to directly manage a smaller IT footprint. |
このガイダンスの目標は、FedRAMP プログラムを強化・充実させることである。FedRAMPはこれまで大きな価値をプロバイダとして提供してきたが、連邦機関のニーズを満たし、クラウド市場の規模に対応するためには、プログラムを変更しなければならない。FedRAMP市場は、連邦機関がより小さなITフットプリントを直接管理できるようにする一方で、連邦機関の主要な業務を加速させることができる何千もの異なるクラウドベースのサービスと連携できるように、劇的に拡大しなければならない。 |
| To achieve this, the FedRAMP program has several strategic goals and responsibilities: |
これを達成するために、FedRAMPプログラムにはいくつかの戦略的目標と責任がある: |
| ● Lead an information security program grounded in technical expertise and risk management. FedRAMP is a security program that should focus Federal agencies and cloud providers on the most impactful security features that protect Federal agencies from the most salient threats, in consultation with industry and security experts across the Federal Government. To do this, FedRAMP must be capable of conducting rigorous reviews and identifying weaknesses in the security architecture of cloud providers. At the same time, FedRAMP is a bridge between industry and the Federal Government, and is expected to thoughtfully navigate situations where unthinking adherence to standard agency practices in a commercial environment could lead to unexpected or undesirable security outcomes. |
● 技術的専門知識とリスクマネジメントに根ざした情報セキュリティー・プログラムを主導する。FedRAMPはセキュリティ・プログラムであり、連邦政府全体の業界およびセキュリティ専門家と協議しながら、連邦政府機関とクラウド・プロバイダに、最も重大な脅威から連邦政府機関を保護する最も影響力のあるセキュリティ機能に焦点を当てるべきである。そのためには、FedRAMPは厳格なレビューを実施し、クラウド・プロバイダのセキュリティ・アーキテクチャの弱点を特定できなければならない。同時に、FedRAMP は産業界と連邦政府との橋渡し役であり、営利目的の環境において機関の標準的な慣行に無思慮に従えば、予期せぬ、あるいは望ましくないセキュリティ結果につながりかねない状況を思慮深く切り抜けることが期待されている。 |
| ● Rapidly increase the size of the FedRAMP marketplace by offering multiple authorization structures. The FedRAMP program has the challenging task of balancing a variety of risk postures across Federal agencies while creating a baseline for the reliability of FedRAMP authorizations that will support the statutory presumption of their adequacy and lead to their reuse at the appropriate FISMA impact level. FedRAMP is expected to create and evolve multiple authorization structures, beyond those described in this document, that provide different incentives and flexibilities to agencies to achieve these goals. |
● 複数の認証構造を提供することで、FedRAMP 市場の規模を急速に拡大する。FedRAMP プログラムは、FedRAMP 認可の信頼性のベースラインを作成することで、その適切性が法的に推定され、適切な FISMA の影響レベルで再利用されるようにする一方で、連邦機関全体で様々なリスク態勢のバランスをとるという困難な課題を抱えている。FedRAMP は、これらの目標を達成するために、各省庁に異なるインセンティブと柔軟性を提供する、この文書に記載されているもの以外の複数の認可構造を作成し、進化させることが期待されている。 |
| ● Streamlining processes through automation. It is essential that FedRAMP establish an automated process for the intake and use of industry standard security assessments and reviews. Automating the intake and processing of machine-readable security documentation and other relevant artifacts will reduce the burden on program participants and increase the speed of implementing cloud solutions in a timely manner. |
●自動動化によるプロセスの合理化。FedRAMPは、業界標準のセキュリティ評価とレビューの取り込みと利用のための自動化されたプロセスを確立することが不可欠である。機械読み取り可能なセキュリティ文書やその他の関連成果物の取り込みと処理を自動化することで、プログラム参加者の負担が軽減され、クラウド・ソリューションのタイムリーな導入スピードが向上する。 |
| ● Leverage shared infrastructure between the Federal Government and private sector. FedRAMP should not incentivize or require commercial cloud providers to create separate, dedicated infrastructure for Federal use, whether through its application of Federal security frameworks or other program operations. The Federal Government benefits most from the investment, security maintenance, and rapid feature development that commercial cloud providers must give to their core products to succeed in the marketplace. Commercial providers should similarly be incentivized to integrate into their core services any improved security practices that emerge from their engagement with FedRAMP, to the benefit of all customers. |
● 連邦政府と民間セクターの共有インフラを活用する。FedRAMPは,連邦セキュリティ・フレームワークの適用やその他のプログラム運用を通じてであれ,営利目的のクラウド・プロバイダに,連邦政府利用のための別個の専用インフラを構築するよう奨励したり要求したりすべきではない。連邦政府は,商用クラウド・プロバイダが市場で成功するために自社の主力製品に行わなければならない投資,セキュリティ保守,迅速な機能開発から最も恩恵を受ける。商業プロバイダも同様に,FedRAMP への関与から生まれた改善されたセキュリティ慣行を,すべての顧客の利益となるよう,自社のコアサービスに統合するインセンティブを与えられるべきである。 |
| Structurally, FedRAMP consists of two parts: a program management office (PMO) and the FedRAMP Board. The PMO, located within GSA and led by a Director, is responsible for providing a security authorization process that meets the needs of Federal agencies, is reasonably navigable for CSPs, and complies with applicable laws and policies, including this memorandum. The FedRAMP Board, composed of Federal technology leaders appointed by OMB, provides input to GSA, establishes guidelines and requirements for security authorizations, and supports and promotes the program within the Federal community. |
構造的には、FedRAMP はプログラム管理室(PMO)と FedRAMP 理事会の2つの部分から構成されている。PMO は GSA 内に設置され、ディレクターが率い、連邦機関のニーズを満たし、CSP にとって合理的に利用可能で、本覚書を含む適用法およびポリシーに準拠したセキュリティ認可プロセスを提供する責任を負う。OMB によって任命された連邦技術リーダーで構成される FedRAMP Board は、GSA に意見を提供し、セキュリ ティ認可のガイドラインと要件を定め、連邦コミュニティ内でプログラムを支援し推進する。 |
| III. Scope of FedRAMP |
III. FedRAMP の範囲 |
| The Act charges OMB with establishing the range of cloud computing products and services that may receive authorizations through FedRAMP.3 Agencies must obtain a FedRAMP authorization when operating an information system within this scope. |
同法は、FedRAMPを通じて認可を受けることができるクラウド・コンピューティング製品とサービスの範囲を定めることをOMBに課している3。この範囲内で情報システムを運用する場合、各省庁はFedRAMPの認可を受けなければならない。 |
| Those products and services are: (1) commercially offered cloud products and services (such as Infrastructure-as-a-Service, Platform-as-a-Service, and Software-as-a-Service) that host information systems that are operated by an agency, or on behalf of an agency by a contractor or other organization; and (2) cross-Government shared services4 that host any information system operated by an agency, or by a contractor of an agency or another organization on behalf of an agency. This scope applies only to information systems that process unclassified information and are not national security systems as defined in 44 U.S.C. § 3552. |
これらの製品およびサービスは、以下のとおりである: (1)政府機関、または政府機関の請負業者もしくは他の組織によって政府機関に代わって運用される情報システムをホストする、商業的に提供されるクラウド製品およびサービス(Infrastructure-as-a-Service、Platform-as-a-Service、Software-as-a-Serviceなど)、および(2)政府機関、または政府機関の請負業者もしくは他の組織によって政府機関に代わって運用される情報システムをホストする、政府間の共有サービス4。この範囲は、未分類の情報を処理する情報システムのみに適用され、44 U.S.C. § 3552 で定義される国家安全保障システムではない。 |
| Some cloud services are outside the scope of FedRAMP: (1) cloud-based services that do not host information systems operated by an agency or contractor of an agency or another organization on behalf of an agency; (2) services that are offered by a Federal agency but are not a cross-Government shared service. |
(1)政府機関、政府機関の請負業者、または政府機関に代わって他の組織が運用する情報システムをホストしないクラウドベースのサービス、(2)連邦政府機関によって提供されるが、政府間共有サービスではないサービス。 |
| Examples of excluded cloud-based services that do not host an information system operated by an agency or contractor of an agency or another organization on behalf of an agency include: |
連邦政府機関によって提供されるが、政府横断的な共有サービスではないサービス 連邦政府機関、連邦政府機関の請負業者、または連邦政府機関を代行する他の組織によって運営される情報システ ムをホストしない、除外されるクラウドベースのサービスの例には、以下が含まれる: |
| 1. Ancillary services whose compromise would pose a negligible risk to Federal information or information systems, such as systems that make external measurements or read information from other publicly available services. |
1. 外部測定を行うシステムや、他の一般に利用可能なサービスから情報を読み取るシステムなど、侵害が連邦情報または情報システムに与えるリスクがごくわずかな付属サービス。 |
| 2. Publicly available social media or communications platforms governed under Federal agency social media policies, in which Federal employees or support contractors may or may not enter Federal information. |
2. 一般に利用可能なソーシャル・メディアまたはコミュニケーション・プラットフォームは、連邦政府機関のソ ーシャル・メディア・ポリシーに基づいて管理される。 |
| 3. Publicly available services that provide commercially available information. |
3. 商業的に利用可能な情報を提供する一般に利用可能なサービス。 |
| IV. The FedRAMP Authorization Process |
IV. FedRAMP 認可プロセス |
| The FedRAMP program makes it easier and more efficient for agencies to securely use cloud products and services by issuing FedRAMP “authorizations.” A FedRAMP authorization is not an endorsement of a commercial product. However, by certifying that a cloud product or service has completed a FedRAMP authorization process or issuing a provisional authorization to operate, FedRAMP establishes that the security posture of the product or service has been reviewed and is presumptively adequate for use by Federal agencies. FedRAMP was founded on the principle of reducing duplicative work for agencies and companies alike, and bringing a measure of consistency and coherence to what the Federal Government requires from cloud providers. To that end, if a given cloud product or service has a FedRAMP authorization of any kind, the Act requires that agencies must presume the security assessment documented in the authorization package is adequate for their use in issuing an authorization to operate,5 and that neither additional security controls nor additional assessments of those controls are required. |
FedRAMPプログラムは、FedRAMPの「認可」を発行することにより、各省庁がクラウド製品やサービスを安全に利用することをより容易かつ効率的にする。FedRAMP認証は、商用製品を推奨するものではない。しかし、クラウド製品やサービスがFedRAMPの認可プロセスを完了したことを証明したり、暫定的な運用認可を発行したりすることで、FedRAMPはその製品やサービスのセキュリティ態勢が審査され、連邦政府機関による利用にとって適切であると推定されることを証明する。FedRAMPは、政府機関にとっても企業にとっても重複作業を減らし、連邦政府がクラウドプロバイダに要求することに一貫性と一貫性を持たせるという原則に基づいて設立された。そのため、あるクラウド製品やサービスがFedRAMPの認可を受けている場合、同法は、認可パッケージに文書化されたセキュリティ評価が、運用認可を発行する際に使用するのに十分なものであると各省庁が推定することを義務付けている5。 |
| This presumption of the adequacy of FedRAMP authorizations does not supersede or conflict with the authorities and responsibilities of agency heads under FISMA to make determinations about their security needs. An agency may overcome this presumption if the agency determines that it has a “demonstrable need” for security requirements beyond those reflected in the FedRAMP authorization package,6 or that the information in the existing package is “wholly or substantially deficient for the purposes of performing an authorization” of a given product or service.7 The FedRAMP Director remains responsible for deciding whether an agency’s additional security needs merit devoting additional FedRAMP resources and conducting additional FedRAMP authorization work to support a revised package. If additional authorization work is conducted and a new authorization is issued, the sponsoring agency must also document in the resulting authorization package the reasons that it found the existing FedRAMP package deficient. However, these instances should be uncommon, in keeping with this policy of presuming the adequacy of FedRAMP authorizations. |
FedRAMP認可の適切性に関するこの推定は、FISMAの下で、セキュリティ・ニーズについて決定を下す機関長の権限と責任に取って代わるものでも、対立するものでもない。機関が、FedRAMP 認可パッケージに反映されている以上のセキュリティ要件に対する「実証可能な必要性」があると判断した場合、機関はこの推定を覆すことができる6 、または、既存のパッケージの情報が、特定の製品またはサービスの「認可を行う目的にとって、全体的または実質的に不十分」であると判断した場合、この推定を覆すことができる7。FedRAMPディレクターは、省庁の追加的なセキュリティニーズが、FedRAMPのリソースを追加的に投入し、改訂されたパッケージをサポートするために追加のFedRAMP認可作業を実施する価値があるかどうかを決定する責任を引き続き負う。追加の認可作業が実施され、新たな認可が発行される場合、スポンサー機関は、既存の FedRAMP パッケージに欠陥があると判断した理由も、結果として発行される認可パッケージに文書化しなければならない。しかし、このようなケースは、FedRAMP の適切性を推定するというこの方針に沿って、まれであるべきである。 |
| For this presumption to be useful, FedRAMP must ensure that its authorizations can be reasonably relied on by multiple agencies, and that they can be tailored to suit the nature of different cloud services and Federal customer needs. |
この推定が有用であるためには、FedRAMPは、その認可が複数の機関によって合理的に信頼され、さまざまなクラウドサービスの性質や連邦政府の顧客のニーズに合わせて調整できることを保証しなければならない。 |
| FedRAMP is responsible for defining the processes and criteria that must be met in order for a cloud product or service to receive a FedRAMP authorization.8 FedRAMP will establish a set of criteria for expediting the authorization of packages submitted by interested agencies with demonstrated mature authorization processes. |
FedRAMPは、クラウド製品やサービスがFedRAMPの認可を受けるために満たさなければならないプロセスと基準を定義する責任を負う8。FedRAMPは、認可プロセスが成熟していることが実証された関係機関から提出されたパッケージの認可を迅速に行うための一連の基準を定める。 |
| FedRAMP is designed to enable use of innovative cloud technologies by Federal agencies in a way that appropriately manages risks. Accordingly, the FedRAMP authorization process should not only require CSPs to demonstrate security capabilities that meet the expectations of Federal agencies but should also recognize the value of newer industry practices that offer improved security and/or compensate for controls that would ordinarily be required. Acting as a bridge between the Federal community and the commercial sector, FedRAMP is responsible for balancing risk and innovation when applying policies governing Federal agency operations, and helping agencies benefit from newer approaches to information security and technology. |
FedRAMPは、リスクを適切にマネジメントする方法で、連邦政府機関による革新的なクラウド技術の利用を可能にするように設計されている。従って、FedRAMP の認可プロセスは、CSP に対し連邦機関の期待に応えるセキュリティ能力の実証を求めるだけでなく、セキュリティの向上や通常必要とされる管理策の代償を提供する新しい業界慣行の価値も認めるべきである。連邦政府コミュニティと商業セクターの橋渡し役として、FedRAMP は、連邦政府機関の運営を管理するポリシーを適用する際のリスクとイノベーションのバランスを取り、情報セキュリティとテクノロジーに対する新しいアプローチから連邦政府機関が利益を得られるよう支援する責任を担っている。 |
| To promote reusability while accommodating different use cases within the Federal Government, FedRAMP will support multiple types of FedRAMP authorizations: |
連邦政府内のさまざまなユースケースに対応しながら再利用性を促進するため、FedRAMP は複数のタイプの FedRAMP 認可をサポートする: |
| 1. A single-agency authorization, signed by a Federal agency’s authorizing official, that indicates that the agency assessed a cloud service’s security posture and found it acceptable. |
1. 連邦政府機関の担当官が署名する単一機関の認可で、同機関がクラウド・サービスのセキュリティ体制を評価し、許容できると判断したことを示す。 |
| These authorizations will be designed to enable an agency to safely use a cloud product or service in a manner consistent with that agency’s risk tolerances. The FedRAMP Director is responsible for ensuring that the authorization can reasonably support reuse by agencies with similar needs. |
これらの認可は、当該機関がクラウド製品やサービスを当該機関のリスク許容度に合致した方法で安全に利用できるように設計される。FedRAMPディレクターは、認可が同様のニーズを持つ機関による再利用を合理的にサポートできることを保証する責任を負う。 |
| 2. A joint-agency authorization, signed by two or more Federal agencies’ authorizing officials, that indicates that the agencies assessed a cloud service’s security posture and found it acceptable.9 |
2. クラウド・サービスのセキュリティ態勢を評価し、許容可能であると判断したことを示す、2つ以上の連邦機関の権限付与担当官によって署名された合同機関承認9。 |
| These authorizations will be designed to enable a cohort of agencies with similar needs to pool resources and achieve consensus on an acceptable risk posture for use of the cloud product or service. The FedRAMP Board and FedRAMP Program are encouraged to proactively identify, organize, and support agency cohorts to reduce their effort and expense in conducting joint-agency authorizations. The FedRAMP Director is responsible for ensuring that the authorization can reasonably support reuse by other agencies that would benefit from using the product or service. |
これらの認可は、同じようなニーズを持つ複数の機関がリソースを出し合い、クラウド製品やサービスを利用するための許容可能なリスク・ポスチャーについてコンセンサスを得ることを可能にするように設計される。FedRAMP BoardとFedRAMP Programは、省庁共同認可を実施する際の労力と費用を削減するために、省庁のコホートを積極的に特定し、組織化し、支援することが奨励される。FedRAMP ディレクターは、製品またはサービスを使用することで利益を得る他の機関による再利用を、認可が合理的にサポートできることを保証する責任を負う。 |
| 3. A program authorization, signed by the FedRAMP Director, that indicates that the Program assessed a cloud service’s security posture and found it met FedRAMP requirements and is acceptable for re-use by agency authorizing officials. |
3. FedRAMP ディレクターが署名したプログラム認可は、プログラムがクラウド・サービスのセキュリ ティ体制を評価し、FedRAMP 要件を満たしており、省庁の認可担当者による再利用が認められることを示すものである。 |
| These authorizations are intended to allow the FedRAMP program to enable agencies to use a cloud product or service for which an agency sponsor has not been identified, but for which substantial Federal use could reasonably be expected were it to be authorized. |
これらの認可は、FedRAMPプログラムが、省庁のスポンサーが特定されていないが、認可されれば実質的な連邦利用が合理的に期待できるクラウド製品やサービスを、省庁が利用できるようにすることを意図している。 |
| 4. Any other type of authorization, designed by the FedRAMP PMO and approved by the FedRAMP Board, to further promote the goals of the FedRAMP program. |
4. FedRAMP PMO が策定し、FedRAMP Board が承認した、FedRAMP プログラムの目標を促進するためのその他の種類の認可。 |
| The FedRAMP PMO is responsible for ensuring that the types of authorizations described above successfully achieve their goals, and for generally enabling Federal agencies to safely meet their mission needs. The FedRAMP PMO oversees the process for all FedRAMP authorizations, and works with agency program staff and authorizing officials to make necessary risk management decisions. Agency authorizing officials determine acceptable risk for their agency, and the FedRAMP Director determines acceptable risk for what can be called a FedRAMP authorization. |
FedRAMP PMO は、上述した種類の認可がその目標を成功裏に達成し、一般的に連邦機関がミッション・ニーズを安全に満たせるようにすることに責任を負う。FedRAMP PMO は、すべての FedRAMP 認可のプロセスを監督し、必要なリスクマネジメントの決定を行うために、省庁のプログラムスタッフおよび認可担当者と協働する。省庁の認可担当者はその省庁の許容リスクを決定し、FedRAMP ディレクターは FedRAMP 認可と呼べるものの許容リスクを決定する。 |
| Regardless of the type of authorization, the FedRAMP review process should consistently assess and validate the core security claims made by a cloud provider. FedRAMP reviews are not limited to reviewing documentation, and may direct that intensive, expert-led “red team” assessments be conducted on any cloud provider at any point during or following the authorization process. |
認可の種類にかかわらず、FedRAMPのレビュー・プロセスは、クラウド・プロバイダが主張する中核的なセキュリティの主張を一貫して評価し、検証しなければならない。FedRAMPの審査は、文書の審査に限定されるものではなく、認可プロセス中またはその後のどの時点においても、クラウド・プロバイダに対して、専門家主導の「レッドチーム」による集中的な評価を実施するよう指示することができる。 |
| Cloud providers are increasingly using complex architectures and encryption schemes to guarantee confidentiality and integrity, and FedRAMP must be able to validate that relevant implementations are reasonable and appear to work as intended. The FedRAMP Director should draw on technical expertise across government and industry as necessary to ensure that appropriate teams can conduct these assessments. |
クラウド・プロバイダは、機密性と完全性を保証するために複雑なアーキテクチャと暗号化スキームをますます使用するようになっており、FedRAMP は関連する実装が合理的であり、意図したとおりに機能するように見えることを検証できなければならない。FedRAMP ディレクターは、適切なチームがこれらの評価を実施できるよう、必要に応じて政府と産業界の技術的専門知識を活用すべきである。 |
| The FedRAMP Board represents the needs of the Federal community and the interests of the FedRAMP program as a whole, and should be responsive to the evolving needs of the Federal community and the changing nature of the cloud ecosystem. The FedRAMP Board is responsible under the Act for establishing and regularly updating requirements and guidelines for security authorizations used in the FedRAMP process.10 As such, the FedRAMP Board engages with the FedRAMP PMO and its processes as a whole and is not expected to participate in the approval of individual authorization packages. |
FedRAMP理事会は、連邦コミュニティのニーズとFedRAMPプログラム全体の利益を代表するものであり、連邦コミュニティの進化するニーズとクラウドエコシステムの性質の変化に対応すべきである。FedRAMP理事会は、FedRAMPプロセスで使用されるセキュリティ認証の要件とガイドラインを定め、定期的に更新する責任を負う。10 そのため、FedRAMP Boardは、FedRAMP PMOとそのプロセス全体に関与し、個別の認可パッケージの承認に関与することは期待されていない。 |
| The authorization process must integrate agile principles and recognize that security is a risk-management process. To achieve this, the FedRAMP program will leverage the use of threat information to prioritize control selection and implementation. The use of threat intelligence, threat analysis, and threat modeling will help agencies better identify the security capabilities necessary to reduce agency susceptibility to a variety of threats, including hostile cyber-attacks, natural disasters, equipment failures, and errors of omission and commission. This process will also apply to other review procedures, including when a provider seeks to modify an existing FedRAMP-authorized service. Summary findings of this analysis will be available to agencies engaged in the FedRAMP authorization process. The FedRAMP Program will update its security baselines to align with a threat-based analysis, produced in collaboration with the Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA), that focuses on the application of those controls that address the most salient threats. |
認可プロセスは、アジャイル原則を統合し、セキュリティがリスクマネジメントプロセスであることを認識しなければならない。これを達成するために、FedRAMP プログラムは、脅威情報を活用してコントロールの選択と実施の優先順位付けを行う。脅威インテリジェンス、脅威分析、脅威モデリングを活用することで、敵対的サイバー脅威、自然災害、機器の故障、不作為と過失を含むさまざまな脅威に対する機関の感受性を低減するために必要なセキュリティ能力を、機関がよりよく特定できるようになる。このプロセスは、プロバイダが既存のFedRAMP認可サービスを変更しようとする場合など、他の審査手続きにも適用される。この分析結果の要約は、FedRAMP 認可プロセスに関与する機関が利用できるようになる。FedRAMP プログラムは、国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)と協力して作成された、最も顕著な脅威に対処する管理策の適用に焦点を当てた脅威ベースの分析に合わせて、セキュリティ・ベースラインを更新する。 |
| Critical to achieving these strategies are the FedRAMP Marketplace and FedRAMP Ready programs. FedRAMP Marketplace shows cloud products and services that are in progress or have completed a FedRAMP authorization. FedRAMP Ready is a status that cloud offerings can obtain that indicates that a readiness assessment has been reviewed and deemed acceptable by the FedRAMP PMO, in accordance with requirements established by the FedRAMP Board. It shows to agencies that an offering is ready to move forward with a full security assessment for a FedRAMP authorization. Products and services that have been through the FedRAMP Ready process are expected to have a faster authorization process. |
これらの戦略を達成するために不可欠なのが、FedRAMP MarketplaceとFedRAMP Readyプログラムである。FedRAMP Marketplaceは、FedRAMP認可を申請中または完了したクラウド製品やサービスを表示する。FedRAMP Readyは、FedRAMP理事会が定めた要件に従って、FedRAMP PMOが準備状況の評価を行い、合格と判断したことを示す、クラウド製品が取得できるステータスである。このステータスは、FedRAMP認可のための完全なセキュリティ・アセスメントを進める準備ができていることを各省庁に示すものである。FedRAMP Readyプロセスを経た製品とサービスは、より迅速な認可プロセスが期待される。 |
| The FedRAMP Marketplace also includes those products and services that have been granted a FedRAMP authorization, as well as products and services that may not have an existing agency customer but have completed the FedRAMP Ready process or other qualifying procedures as determined by FedRAMP. FedRAMP is encouraged to further explore FedRAMP Ready to help on-ramp additional small or disadvantaged businesses who may provide novel and important capabilities, but could face challenges in accessing the Federal marketplace. |
FedRAMP Marketplace には、FedRAMP の認可を受けた製品・サービスや、既存の機関顧客はいないが FedRAMP Ready プロセスやFedRAMP が定めるその他の適格手続きを完了した製品・サービスも含まれる。FedRAMPは、斬新で重要な機能を提供する可能性がありながら、連邦市場へアクセスする上で困難に直面する可能性のある中小企業や不利な立場にある企業のオンランプを支援するために、FedRAMP Readyをさらに検討することが奨励される。 |
| Similarly, to support a robust marketplace, agencies may in some circumstances require a FedRAMP authorization as condition of contract award, but only if there are an adequate number of vendors to allow for effective competition, or an exception to legal competition requirements applies.11 |
同様に、強固な市場を支援するために、各省庁は状況によっては契約締結の条件として FedRAMP の認可を要求することがあるが、それは効果的な競争を可能にする十分な数のベンダーが存在する場合、あるいは法的な競争要件の例外が適用される場合に限られる11。 |
| GSA, in consultation with the FedRAMP Board and the Chief Information Officers Council, develops criteria for prioritizing products and services expected to receive a FedRAMP authorization.12 GSA will ensure that these criteria prioritize products and services based on agency demand, and critical technologies that might otherwise remain unavailable to agencies, while facilitating the goals of this policy, such as automation, shared commercial platforms, and reuse. |
GSA は、FedRAMP 理事会および最高情報責任者会議と協議の上、FedRAMP 認可を受けると予想される製品やサービスに優先順位をつけるための基準を策定する12 。GSA は、自動化、共有商用プラットフォーム、再利用といった本政策の目標を促進しつつ、これらの基準が、省庁の需要、および他の方法では省庁が利用できない可能性のある重要な技術に基づいて、製品やサービスに優先順位をつけるようにする。 |
| To identify more cloud services that could become FedRAMP authorized, and to accelerate their eventual path to being authorized, FedRAMP will provide additional procedures for the issuance of a type of preliminary authorization that would allowFederal agencies to pilot the use of new cloud services that do not yet have a full FedRAMP authorization. Consistent with FedRAMP’s policies and procedures, such a preliminary authorization would provide for use of the covered product or service on a trial basis for a limited period of time, not to exceed twelve months, with the goal of more easily supporting a potential FedRAMP authorization.13 |
FedRAMPの認可を受ける可能性のあるクラウド・サービスをより多く特定し、最終的に認可を受けるまでの道のりを早めるために、FedRAMPは、連邦機関がまだFedRAMPの完全な認可を受けていない新しいクラウド・サービスを試験的に利用できるようにする、一種の予備認可の発行のための追加手続きを提供する。FedRAMPの方針と手続きに沿って、このような予備認可は、潜在的なFedRAMP認可をより容易にサポートすることを目的として、12ヶ月を超えない限られた期間、対象となる製品またはサービスを試験的に使用することを提供する13。 |
| V. Automation and Efficiency |
V. 自動化と効率化 |
| As part of a technology-forward program optimized for efficiency and consistency, FedRAMP processes should be automated wherever possible.14 GSA must establish a means of automating FedRAMP security assessments and reviews by December 23, 2023.15 To ensure that it meets that requirement, FedRAMP should, to the extent feasible, receive all artifacts in the assessments be conducted on any cloud provider at any point during or following the authorization process and continuous monitoring process as machine-readable data, 16 through application programming interfaces that support predictable and self-service integration between services operated by FedRAMP and by CSPs. |
GSAは、2023年12月23日までにFedRAMPのセキュリティ評価とレビューを自動化する手段を確立しなければならない15 。この要件を確実に満たすために、FedRAMPは、実行可能な範囲で、FedRAMPとCSPが運営するサービス間の予測可能でセルフサービス的な統合をサポートするアプリケーション・プログラミング・インターフェースを通じて、認可プロセス中または認可後のどの時点でも、どのクラウドプロバイダに対しても、評価のすべての成果物を機械読み取り可能なデータとして受け取るべきである。 |
| Automation relies on interoperable standards. The FedRAMP PMO will work with OMB, the National Institute of Standards and Technology (NIST), and CISA, as well as private-sector providers of risk and compliance tools, to provide for the submission of security assessment artifacts and continuous monitoring information using machine-readable, standardized data that facilitates interoperability, and to develop and publish relevant standards for that transition. The FedRAMP PMO will also identify additional FedRAMP processes in need of automation to promote efficiency and effectiveness within the program, and facilitate broader access to FedRAMP artifacts for agency partners with a mission need.17 |
自動化は相互運用可能な標準に依存する。FedRAMP PMOは、OMB、国立標準技術研究所(NIST)及びCISA、並びにリスク及びコンプライアンス・ツールの民間プロバイダと協力して、相互運用性を促進する機械可読の標準データを使用したセキュリティ・アセスメント成果物及び継続的なモニタリング情報の提出を提供し、その移行のための関連標準を開発し公表する。FedRAMP PMO はまた、プログラム内の効率性と有効性を促進するために自動化が必要な追加の FedRAMP プロセスを特定し、ミッションの必要性がある省庁パートナーのために FedRAMP 成果物への広範なアクセスを促進する。 |
| Automating the FedRAMP process goes beyond technical implementation to procedural efficiencies as well. To accelerate the adoption of secure cloud computing products and services,FedRAMP must maintain an analysis of what controls can be shared between cloud products and services that rely on an underlying platform or infrastructure offering. FedRAMP will use that analysis to create guidance that streamlines authorizations for cloud services that use FedRAMP- authorized infrastructure or platforms. |
FedRAMP プロセスの自動化は、技術的な実装にとどまらず、手続き上の効率化にも及ぶ。セキュアなクラウド・コンピューティング製品とサービスの採用を加速させるために、FedRAMP は、基盤となるプラットフォームやインフラストラクチャ・オファリングに依存するクラウド製品とサービスの間で、どのような管理を共有できるかの分析を維持しなければならない。FedRAMPはその分析をもとに、FedRAMPが認可したインフラやプラットフォームを利用するクラウドサービスの認可を合理化するガイダンスを作成する。 |
| Additionally, many existing cloud offerings have implemented or received certifications for external security frameworks. Performing an assessment of such a framework each time a product that uses it goes through the FedRAMP process unnecessarily slows the adoption of such cloud products and services by the Federal Government. Therefore, FedRAMP will establish standards for accepting external cloud security frameworks and certifications, based on its assessment of relevant risks and the needs of Federal agencies. This will include leveraging external security control assessments and evaluations in lieu of newly performed assessments, as well as designating certifications that can serve as a full FedRAMP authorization, especially for lower-risk products and services. FedRAMP may make risk management decisions regarding acceptable controls for certain situations or types of cloud offerings where there are gaps or misalignments between Federal and external security frameworks, weighing whether broader interoperability with industry security processes, reduced burden on providers, or further streamlining of FedRAMP authorizations and processes may justify acceptance of a given level of security risk any. FedRAMP’s determinations in this area must align with the guidance and requirements established by the FedRAMP Board. |
さらに、既存のクラウド・サービスの多くは、外部のセキュリティ・フレームワークを実装したり、認証を受けたりしている。そのようなフレームワークを使用する製品がFedRAMPプロセスを通過するたびに、そのようなフレームワークの評価を行うことは、連邦政府によるそのようなクラウド製品やサービスの採用を不必要に遅らせることになる。そこでFedRAMPは、関連リスクと連邦機関のニーズの評価に基づき、外部のクラウド・セキュリティ・フレームワークと認証を受け入れるための標準を確立する。これには、新たに実施する評価の代わりに外部のセキュリティ管理評価や査定を活用することや、特にリスクの低い製品やサービスについては、FedRAMPの完全な認可として機能する認定を指定することも含まれる。FedRAMPは、連邦政府のセキュリティ・フレームワークと外部のセキュリティ・フレームワークとの間にギャップや不整合がある特定の状況や種類のクラウド・オファリングについて、業界のセキュリティ・プロセスとのより広範な相互運用性、プロバイダの負担軽減、FedRAMPの承認とプロセスのさらなる合理化が、あるレベルのセキュリティ・リスクの受け入れを正当化できるかどうかを考慮して、許容されるコントロールに関するリスク・マネジメントの決定を下すことがある。この分野におけるFedRAMPの決定は、FedRAMP理事会が定めたガイダンスと要件に沿ったものでなければならない。 |
| VI. Continuous Monitoring |
VI. 継続的モニタリング |
| FedRAMP’s continuous monitoring processes should incentivize security through agility, and should enable Federal agencies to use the most current and innovative cloud products and services possible. FedRAMP should seek input from CSPs and develop processes that enable CSPs to maintain an agile deployment lifecycle that does not require advance government approval, while giving the government the visibility and information it needs to maintain ongoing confidence in the FedRAMP-authorized system and to respond timely and appropriately to incidents. |
FedRAMPの継続的なモニタリング・プロセスは、俊敏性によってセキュリティのインセンティブを高め、連邦機関が可能な限り最新かつ革新的なクラウド製品・サービスを利用できるようにすべきである。FedRAMPは、CSPから意見を求め、CSPが政府の事前承認を必要としない俊敏な導入ライフサイクルを維持できるようにする一方で、FedRAMPが承認したシステムに対する継続的な信頼を維持し、インシデントにタイムリーかつ適切に対応するために必要な可視性と情報を政府に提供できるようなプロセスを開発すべきである。 |
| The FedRAMP PMO, in coordination with the Board and CISA, is responsible for establishing a framework for continuous monitoring of cloud services and products, subject to the approval of OMB and DHS. FedRAMP is encouraged to develop a framework that: |
FedRAMP PMOは、理事会およびCISAと協調して、OMBおよびDHSの承認を条件として、クラウド・サービスおよび製品を継続的に監視する枠組みを確立する責任を負う。FedRAMPは、以下のような枠組みを開発することが奨励される: |
| ● Prioritizes agility of development and deployment by CSPs, to support automation and DevSecOps practices within the cloud ecosystem; |
● クラウド・エコシステムにおける自動化と DevSecOps の実践を支援するため、CSP による開発と展開の機敏性を優先する; |
| ● Calls for advance notice from CSPs of upcoming security-relevant changes to the FedRAMP-authorized cloud product or service without requiring advance approval from the Government; |
● 政府からの事前承認を必要とせずに、FedRAMP 認可のクラウド製品またはサービスに対するセキュリ ティ関連の今後の変更について CSP からの事前通知を求める; |
| ● Provides CISA technical data to understand risks and to detect threats to agency information and information systems. |
● リスクを把握し、省庁の情報および情報システムに対する脅威を検知するために、CISAの技術データを提供する。 |
| ● Avoids incentivizing the bifurcation of cloud services into commercially-focused and Government-focused instances. In general, to promote both security and agility, Federal agencies should be using the same infrastructure relied on by the rest of CSPs’ customer base. |
● クラウド・サービスを商業に特化したインスタンスと政府に特化したインスタンスに二分するようなインセンティブを与えないようにする。一般に、セキュリ ティと俊敏性の両方を促進するために、連邦機関は、CSP の他の顧客ベースが利用するのと同じイ ンフラストラクチャを利用すべきである。 |
| ● Establishes expectations of authorized CSPs regarding incident response procedures, communication and reporting timelines, and other process that help ensure the Government is protected from potential attacks on cloud-based infrastructure. |
● インシデント対応手順、コミュニケーション、報告スケジュール、およびクラウドベースのインフラに対する潜在的な攻撃から政府を確実に保護するためのその他のプロセスに関して、認定 CSP に期待されることを定める。 |
| For all FedRAMP authorized products and services, the FedRAMP PMO will provide a certain standard level of continuous monitoring support to authorizing agencies. The FedRAMP PMO will set this standard level of monitoring support by analyzing and identifying the highest-impact controls for ensuring security of FedRAMP products and services. It will provide recommendations for the supported monitoring levels to the FedRAMP Board for review, feedback, and concurrence. When finalized, FedRAMP PMO will provide the supported monitoring to all agency customers of authorized FedRAMP products and services. |
すべての FedRAMP 認可製品およびサービスについて、FedRAMP PMO は認可機関に一定標準レベルの継続監視サポートを提供する。FedRAMP PMO は、FedRAMP 製品とサービスのセキュリティを確保するために、最も影響の大きいコントロールを分析・特定することで、この標準レベルの監視サポートを設定する。FedRAMP PMOは、FedRAMP理事会に対し、サポートする監視レベルの推奨事項を提供し、レビュー、フィードバック、同意を求める。最終決定後、FedRAMP PMOは、認可されたFedRAMP製品及びサービスの全機関の顧客に、サポートされる監視を提供する。 |
| The FedRAMP PMO may conduct a special review of existing FedRAMP authorizations (regardless of authorization type). The FedRAMP Board must approve the special review and establish an expedited deadline for its completion. Once approved, the FedRAMP Director will work with the FedRAMP Board to jointly convene a technical working group consisting of members from across the Federal Government with relevant expertise. This working group will develop processes and goals tailored to the nature and technical architecture of the cloud provider, and will oversee the review of the cloud provider’s authorizations. Within the deadline established by the Board for the review, the working group will conclude its work and produce a report, submitted to the FedRAMP Director and FedRAMP Board, with any recommended changes that should be required of the cloud provider to maintain a FedRAMP authorization. |
FedRAMP PMO は、既存の FedRAMP 認可(認可の種類を問わない)の特別レビューを実施することができる。FedRAMP 理事会は、特別レビューを承認し、その完了のための迅速な期限を設定しなければならない。一旦承認されると、FedRAMP ディレクターは FedRAMP 理事会と協力して、関連する専門知識を有する連邦政府全体のメンバーで構成される技術ワーキング・グループを共同で招集する。この作業部会は、クラウド・プロバイダの性質と技術的アーキテクチャーに合わせたプロセスと目標を策定し、クラウド・プロバイダの認可のレビューを監督する。理事会が定めた審査期限内に、作業部会は作業を終了し、FedRAMP認可を維持するためにクラウド・プロバイダに要求すべき推奨される変更を記載した報告書を作成し、FedRAMP理事会およびFedRAMPディレクターに提出する。 |
| When the FedRAMP PMO becomes aware of vulnerabilities in a CSP with a FedRAMP authorization, it will provide that information to the CSP and impacted agencies for remediation and establish escalation pathways for vulnerabilities not sufficiently addressed in a timely manner. Escalation pathways may include public notification of unaddressed concerns for potential agency customers. The FedRAMP PMO will develop and maintain procedures for responding to CISA Binding Operational and Emergency Directives, 18 in collaboration with CISA, OMB, and the FedRAMP Board. |
FedRAMP PMO は、FedRAMP 認可を受けた CSP の脆弱性に気付いた場合、その情報を CSP および影響を受ける機関に提供し、是正を求めるとともに、適時に十分な対処がなされない脆弱性についてはエスカレーション経路を確立する。エスカレーション経路には、潜在的な機関顧客に対する未対処の懸念事項の公表を含めることができる。FedRAMP PMOは、CISA、OMB、FedRAMP理事会と協力して、CISAの拘束的運用指令及び緊急指令に対応するための手順を策定し、維持する。 |
| To increase integrity and further trust in the FedRAMP program, FedRAMP should leverage government-wide tools and best-practices to enhance its monitoring efforts. Specifically, FedRAMP must ensure that it uses, to the greatest extent possible, CISA’s capabilities and shares relevant data and tools for monitoring FedRAMP’s products and services. |
FedRAMPプログラムの整合性を高め、信頼をさらに高めるために、FedRAMPは政府全体のツールとベスト・プラクティスを活用し、監視の取り組みを強化すべきである。具体的には、FedRAMP は可能な限り CISA の能力を利用し、FedRAMP の製品とサービスを監視するための関連データとツールを共有するようにしなければならない。 |
| VII. Roles and Responsibilities |
VII. 役割と責任 |
| This section details the responsibilities and interactions of the key government stakeholders that make up or interact with FedRAMP. These stakeholders include GSA, the FedRAMP Board, the FedRAMP Technical Advisory Group, NIST, DHS, and Federal agencies. |
このセクションでは、FedRAMP を構成する、または FedRAMP と相互作用する主要な政府関係者の責任と相互作用について詳述する。これらの利害関係者には、GSA、FedRAMP Board、FedRAMP Technical Advisory Group、NIST、DHS、連邦機関が含まれる。 |
| The roles and responsibilities below are intended to identify many of the critical directives of this policy and applicable statutes. |
以下の役割と責任は、本方針の重要な指示の多くと、適用される法令を特定することを意図している。 |
| a. The General Services Administration |
a. 一般調達局 |
| GSA resources, administers, and operates the FedRAMP program office, and is responsible for the successful implementation of FedRAMP.19 |
GSA は、FedRAMP プログラム・オフィスの資源、管理、運営を行い、FedRAMP の成功裏の実施に責 任を負う19 。 |
| In operating FedRAMP, GSA will fulfill a variety of responsibilities, including: |
FedRAMP の運用において、GSA は以下を含む様々な責任を果たす: |
| 1) Develop and implement the process for FedRAMP authorizations, in consultation with DHS; |
1) DHS と協議の上、FedRAMP 認可プロセスを策定し実施する; |
| 2) Grant FedRAMP authorizations consistent with the guidance and direction of the Board, including program authorizations for cloud products and services that meet FedRAMP requirements and threat-based risk analysis; |
2) FedRAMP 要件と脅威に基づくリスク分析に適合するクラウド製品・サービスに対するプログラム認可を含む、理事会のガイダンスと指示に沿った FedRAMP 認可を付与する; |
| 3) Provide a certain standard level of continuous monitoring support for the highest-impact controls of FedRAMP products and services; |
3) FedRAMP 製品とサービスの最も影響の大きい管理について、一定標準レベルの継続的監視サ ポートをプロバイダとして提供する; |
| 4) Develop partnerships with Federal agencies to promote authorizations and reuse, and establish a secure, transparent, and automated process for enabling agency officials’ access to artifacts in the FedRAMP repository; |
4) 権限付与と再利用を促進するために連邦機関とのパートナーシップを構築し、連邦機関職員が FedRAMP リポジトリ内の成果物にアクセスできるようにするための、安全で透明性のある自動化されたプロセスを確立する; |
| 5) Consult with the Federal Secure Cloud Advisory Committee (FSCAC)20 as appropriate; |
5) 必要に応じて連邦セキュア・クラウド諮問委員会(FSCAC)20 と協議する; |
| 6) Proactively engage with the commercial cloud sector, to represent the priorities of the Federal agency community and maintain awareness of contemporary technology and security practices; |
6) 連邦政府機関のコミュニティの優先事項を代表し、最新の技術とセキュリティ慣行の認識を維持するため、商業クラウド部門と積極的に関わる; |
| 7) Establish systems that support automated, machine-readable processing of authorization materials, and drive adoption of relevant standards throughout the cloudecosystem; |
7) 認可資料の自動化された機械読み取り可能な処理を支援するシステムを確立し、クラウ ドシステム全体で関連標準の採用を推進する; |
| 8) Develop guidance, as necessary, for best practices in the procurement of cloud products and services, in coordination with OMB, the CIO Council, and the Chief Acquisition Officers Council; |
8) OMB、CIO 評議会、および最高調達責任者会議(Chief Acquisition Officers Council)と連携して、クラウド製品とサービスの調達におけるベストプラクティスに関するガイダンスを必要に応じて策定する; |
| 9) Establish, and submit to the FedRAMP Board for concurrence, metrics that measure agency participation in FedRAMP, the time and quality of each step of the initial FedRAMP authorization process and ongoing interactions with the FedRAMP program, and any other metrics requested by the FedRAMP Board or OMB to measure program health and follow up with agencies as needed; and |
9) FedRAMP への各省庁の参加、最初の FedRAMP 認可プロセスの各段階の時間と質、FedRAMP プログラムとの継続的なやり取り、およびプログラムの健全性を測定し、必要に応じて各省庁をフォローアップするために FedRAMP 理事会または OMB が要求するその他の指標を測定する指標を確立し、FedRAMP 理事会に提出し、同意を得る。 |
| 10) Position FedRAMP as a central point of contact to the commercial cloud sector for government-wide communications or requests for information concerning commercial cloud providers used by Federal agencies. |
10) 連邦政府機関が利用する商用クラウド・プロバイダに関する政府全体のコミュニケーションや情報要求のための、商用クラウド部門に対する中心的な窓口としてFedRAMPを位置づける。 |
| b. The FedRAMP Board |
b. FedRAMP 理事会 |
| The FedRAMP Board consists of up to seven senior officials or experts from agencies that are appointed by OMB in consultation with GSA.21 The Board must include at least one representative from each of GSA, DHS, and the Department of Defense, and will include representation from other agencies as determined by OMB. The FedRAMP Board members must possess technical expertise in cloud, cyber, privacy, risk management, and other competencies identified by OMB, in consultation with GSA.22 OMB may elect to adjust the board membership over time, and the membership will be documented in the FedRAMP Charter maintained by GSA. OMB, through the Federal Chief Information Officer, will participate in FedRAMP Board meetings to provide oversight and and guidance, and the Office of the National Cyber Director may attend Board meetings as appropriate to assist in the coordination of FedRAMP activities with national cyber policy and strategy. As a body intended to represent the entire participating Federal community, the FedRAMP Board should, in general, endeavor to maintain consensus among its members when making decisions. To ensure FedRAMP’s effectiveness and efficiency, however, the Board must be able to reach final resolutions even when consensus is unattainable. Accordingly, it is the Board’s responsibility to adopt internal operating procedures under which final decisions will be made even in the absence of unanimous support from its members. |
FedRAMP 理事会は、GSA と協議の上 OMB が任命する各省庁の高官または専門家最大 7 名で構成される21 。理事会には、GSA、国土安全保障省、国防総省からそれぞれ少なくとも 1 名の代表者が含まれなければならず、OMB が決定するその他の省庁からの代表者も含まれる。FedRAMP 理事会のメンバーは、クラウド、サイバー、プライバシー、リスクマネジメント、および OMB が GSA と協議して特定したその他の能力に関する技術的専門知識を有していなければならない22。OMB は、時間の経過とともに理事会のメンバーを調整することを選択することができ、メンバーは GSA が維持する FedRAMP 憲章に文書化される。OMB は連邦最高情報責任者(Federal Chief Information Officer)を通じて FedRAMP 理事会の会合に参加し、監督と指針を提供する。FedRAMP理事会は、参加する連邦コミュニティ全体を代表することを目的とする団体であるため、一般的に、意思決定を行う際にはメンバー間のコンセンサスを維持するよう努めるべきである。しかし、FedRAMPの有効性と効率性を確保するためには、理事会は、コンセンサスが得られない場合でも最終的な決議に達することができなければならない。従って、理事会のメンバーから全会一致の支持が得られなくても、最終的な決定を下すことができるような内部運営手順を採用することは、理事会の責任である。 |
| As provided in the Act, the Board will: |
同法に規定されている通り、理事会は以下を行う: |
| 1) Provide input and recommendations to GSA regarding the requirements and guidelines for, and the prioritization of, security assessments of cloud computing products and services; |
1) クラウドコンピューティング製品およびサービスのセキュリティ評価の要件とガイドライン、および優先順位付けに関して、GSA に意見と勧告を提供する; |
| 2) In consultation with GSA, serve as a resource for best practices to accelerate the process for obtaining a FedRAMP authorization; |
2) GSA と協議の上、FedRAMP 認可取得プロセスを加速するためのベストプラクティスのリソースとなる; |
| 3) Establish requirements and guidelines for security assessments of cloud computing services, consistent with standards defined by the National Institute of Standards and Technology, to be used in the determination of a FedRAMP authorization; |
3) FedRAMP 認可の判断に使用される、国立標準技術研究所によって定義された標準に合致する、クラウドコンピューティング・サービスのセキュリティ評価のための要件とガイドラインを確立する; |
| 4) Establish and regularly update requirements and guidance for security authorizations of cloud computing products and services, including government-wide shared services, consistent with OMB policy and NIST standards and guidelines, to be used in the determination of FedRAMP authorizations; |
4)クラウドコンピューティング製品とサービスのセキュリティ認可に関する要件とガイダンスを確立し、定期的に更新する、 政府全体の共有サービスを含め、OMB の方針と NIST の標準とガイドラインに合致し、FedRAMP 認可の決定に使用される; |
| 5) Monitor and oversee, to the greatest extent practicable, the processes and procedures by which agencies determine and validate requirements for a FedRAMP authorization, including periodic review of agency determinations that existing assessments in the FedRAMP repository were not sufficient for the purpose of performing an authorization; |
5) FedRAMP リポジトリにある既存の評価が、認可を行う目的には十分でないという機関の判 断を定期的に見直すことを含め、FedRAMP 認可のための要件を機関が決定し、検証するプロセ スと手順を、実行可能な最大限の範囲で監視し、監督する; |
| 6) Ensure consistency and transparency between agencies and CSPs in a manner that minimizes confusion and engenders trust; and |
6) 混乱を最小限に抑え、信頼を醸成する方法で、機関と CSP 間の一貫性と透明性を確保する。 |
| 7) Perform other roles and responsibilities as assigned by OMB, acting through the Federal Chief Information Officer, with the concurrence of the FedRAMP PMO at GSA. |
7) GSA の FedRAMP PMO の同意を得て、連邦最高情報責任者(Federal Chief Information Officer)を通じて OMB が指定するその他の役割と責任を果たす。 |
| As agreed by OMB and GSA, the Board will also provide input to GSA regarding the establishment of metrics reflecting the time and quality of the assessments necessary for completion of a FedRAMP authorization. |
OMB と GSA が合意したように、理事会はまた、FedRAMP 認可の完了に必要な評価の時間と質を反映する指標の設定に関して、GSA に意見を提供する。 |
| c. Technical Advisory Group |
c. 技術諮問グループ |
| OMB will establish a Technical Advisory Group (TAG) to provide additional subject matter expertise to FedRAMP and advise on the technical, strategic, and operational direction of the program. The goal of the TAG is to provide additional avenues for input across the Federal community into the functioning of FedRAMP and serve as an independent source for technical and programmatic best practices and insight. |
OMB は技術諮問グループ(TAG)を設立し、FedRAMP に専門分野の追加的なプロバイダを提供し、プロ グラムの技術的、戦略的、運営上の方向性について助言する。TAG の目標は、FedRAMP の機能に対して連邦コミュニティ全体からインプットする手段を追加し、技術的・プログラム的なベストプラクティスと見識の独立した情報源としての役割を果たすことである。 |
| The TAG will comprise up to six technical experts in cloud technologies, cybersecurity, privacy, risk management, digital service delivery, and other competencies as identified by GSA, with OMB concurrence. TAG members will be Federal employees. The FedRAMP PMO will provide operational support for the functions of the TAG. |
TAG は、クラウド技術、サイバーセキュリティ、プライバシー、リスクマネジメント、デジタルサービスデリバリ、および OMB の同意を得て GSA が特定したその他のコンピテンシーの技術専門家最大 6 名で構成される。TAG メンバーは連邦職員とする。FedRAMP PMO は TAG の機能を運用面でサポートする。 |
| The TAG will: |
TAG は以下を行う: |
| 1) Provide recommendations on best practices in continuous monitoring of cloud services and establishing control criteria. |
1) クラウド・サービスの継続的監視と管理基準の設定におけるベスト・プラクティスに関する提言を行う。 |
| 2) Provide advice on issues that arise during the process of performing risk assessments and technical reviews of authorization packages. |
2) リスクアセスメントと認可パッケージの技術的レビューの実施過程で発生する問題につい て助言を提供する。 |
| 3) Advise on other issues as requested by the FedRAMP Director or FedRAMP Board. |
3) FedRAMP ディレクターまたは FedRAMP 理事会の要請に応じて、その他の問題についても助言を行う。 |
| d. Agencies |
d. 政府機関 |
| To further strengthen the FedRAMP program, each agency must: |
FedRAMP プログラムをさらに強化するために、各機関は以下を行わなければならない: |
| 1) Upon issuance of an agency authorization to operate based on a FedRAMP authorization, provide a copy of the authorization-to-operate letter and any relevant supplementary information to the FedRAMP PMO, including configuration information as applicable; |
1) FedRAMP 認可に基づく運用認可が発行された場合、運用認可書及び関連する補足情報のコピーを、該当する場合、設定情報を含め、FedRAMP PMO に提供する; |
| 2) Ensure authorization package materials are provided to the FedRAMP PMO using machine-readable and interoperable formats, in accordance with any applicable guidance from the FedRAMP program; |
2) FedRAMP プログラムからの適用可能なガイダンスに従い、認証パッケージの資料が、 機械可読かつ相互運用可能な形式を用いて FedRAMP PMO に提供されることを確実にする; |
| 3) Ensure that agency system-inventory tools can ingest machine readable authorization artifacts; |
3) 省庁のシステムインベントリツールが、機械可読の認証成果物を取り込めるようにする; |
| 4) Provide data and information concerning how they are meeting relevant security metrics, in accordance with OMB guidance; and |
4) OMBのガイダンスに従って、関連するセキュリティ指標をどのように満たしているか に関するデータと情報を提供する。 |
| 5) Ensure that relevant contracts include the FedRAMP security authorization requirements with which the contractor must comply. |
5) 関連する契約に、請負業者が遵守しなければならない FedRAMP セキュリティ認可要件が含まれていることを確認する。 |
| e. Department of Commerce |
e. 商務省 |
| NIST, within the Department of Commerce, is responsible for developing and maintaining standards and guidelines to support implementation of risk management programs to meet the requirements of FISMA. In doing so, NIST has an essential role in the FedRAMP process. |
商務省内の NIST は、FISMA の要件を満たすリスクマネジメントプログラムの実施を支援する標準と ガイドラインを策定し、維持する責任を負う。その際、NIST は FedRAMP プロセスにおいて不可欠な役割を担っている。 |
| NIST will: |
NIST は以下を行う: |
| 1) In coordination with OMB and CISA, review the underlying NIST standards and guidelines used by FedRAMP to identify and assess the provenance of the software in cloud services and products; |
1) OMBおよびCISAと連携して、クラウドサービスおよび製品に含まれるソフトウェアの出所を識別・評価するためにFedRAMPが使用する基礎となるNIST標準およびガイドラインを見直す; |
| 2) Assess and update standards and guidelines, as determined necessary, to keep pace with the evolving technology landscape and support the continued evolution of FedRAMP; |
2) 技術状況の進展に対応し、FedRAMP の継続的な進化を支援するため、必要と判断される標準と指針を評価し、更新する; |
| 3) Monitor and review private sector information security practices to understand potential application; and |
3) 民間部門の情報セキュリティ慣行を監視・検討し、適用可能性を理解する。 |
| 4) Develop and maintain a machine-readable data standard to support automation of security assessments and continuous monitoring, as well as the automation of other artifacts or processes required by the Risk Management Framework for Information Systems and Organizations.23 |
4) セキュリティのアセスメント及び継続的なモニタリングの自動化、並びに「情報システム及び組織のためのリスクマネジメントフレームワーク」が要求するその他の成果物又はプロセスの自動化を支援するための機械可読データ標準を開発し、維持する23。 |
| VIII. Industry Engagement |
VIII. 産業界の関与 |
| FedRAMP is a bridge between the Federal community and the commercial cloud marketplace. The FedRAMP program makes it easier for agencies to obtain what they need from the commercial ecosystem and accelerate mission operations. At the same time, FedRAMP makes it more feasible for commercial providers to satisfy similar needs across the Federal Government in a consistent and streamlined way. |
FedRAMP は、連邦政府コミュニティと商用クラウド市場の架け橋である。FedRAMP プログラムは、連邦機関が営利エコシステムから必要なものを容易に入手できるようにし、ミッション・オペレーションを加速させる。同時にFedRAMPは、営利プロバイダが一貫した合理的な方法で連邦政府全体の同様のニーズを満たすことをより現実的なものにする。 |
| To further the program’s goals, GSA and the FedRAMP Board should engage with industry, through the FSCAC and other mechanisms as appropriate, to maintain a current understanding of industry technologies and practices, to understand where the FedRAMP program could improve its policies or operations, and to otherwise build a strong working relationship between the commercial cloud sector and the Federal community. |
プログラムの目標を推進するため、GSA と FedRAMP 理事会は、FSCAC やその他の適切なメカニズムを通じて業界と関わりを持ち、業界の技術や慣行に関する最新の理解を維持し、FedRAMP プログラムがそのポリシーや運用を改善できる点を理解し、その他、商用クラウド・セクターと連邦コミュニティの間に強固な協力関係を構築する必要がある。 |
| The FedRAMP PMO and Board should continue to seek feedback from industry on how to increase agency reuse of FedRAMP authorizations, drive more authorizations of small or disadvantaged businesses, and reduce the burden and cost of the FedRAMP authorization process for both CSPs and Federal agencies. |
FedRAMP PMO と理事会は、FedRAMP 認可の再利用を増加させ、中小企業や不利な立場にある企業の認可を促進し、CSP と連邦政府機関の両方にとって FedRAMP 認可プロセスの負担とコストを削減する方法について、引き続き業界からのフィードバックを求めるべきである。 |
| Additionally, the FedRAMP PMO and Board should proactively work to conveneindustry to convey the emerging cybersecurity priorities and needs of the Federal Government as an enterprise, and discuss potential solutions. |
さらに、FedRAMP PMO と理事会は、エンタープライズとしての連邦政府のサイバーセキュリティに関する新たな優先事項とニーズを伝え、潜在的な解決策を議論するために、業界を積極的に招集するよう努めるべきである。 |
| It is inefficient for CSPs to report the same information repeatedly to each Federal agency customer they serve. The FedRAMP PMO is positioned to act as a central point of contact when the Federal Government needs to gather information about cloud products and services used by agencies. Such needs may flow from OMB policies, CISA Binding Operational or Emergency Directives, or other government-wide directives or initiatives that require the collection of cloud security information. |
CSP がサービスを提供する各連邦機関の顧客に同じ情報を繰り返し報告するのは非効率である。FedRAMP PMO は、連邦政府が各省庁が使用するクラウド製品・サービスに関する情報を収集する必要がある場合に、中心的な窓口として機能するように位置付けられている。このようなニーズは、OMBの方針、CISAの拘束的運用指令または緊急指令、あるいはクラウドセキュリティ情報の収集を必要とするその他の政府全体の指令やイニシアチブに起因する可能性がある。 |
| IX. Implementation |
IX. 実施 |
| Within 90 days of issuance of this memorandum, OMB will appoint an initial slate of members of the FedRAMP Board. The Board must, once constituted, approve a charter. |
本覚書の発行から90日以内に、OMBはFedRAMP理事会の初期メンバーを任命する。FedRAMP理事会は設立後、憲章を承認しなければならない。 |
| Within 90 days of issuance of this memorandum and annually upon request, GSA will submit a plan, approved by the GSA Administrator, to OMB, detailing program activities, including staffing plans and budget information, for implementing the requirements in this memorandum. The plan will include a timeline and strategy to bring any pending authorizations or existing FedRAMP initiatives into conformance with the Authorization Act and this memorandum. |
GSA は、本覚書の発行から 90 日以内に、また要請があれば毎年、GSA 長官の承認を受けた計画を OMB に提出し、本覚書の要件を実施するための人員計画および予算情報を含むプログラム活動を詳述する。この計画には、保留中の認可または既存の FedRAMP イニシアチブを認可法および本覚書に適合させるためのスケジュールと戦略が含まれる。 |
| Within 180 days of issuance of this memorandum, each agency must issue or update agency-wide policy that aligns with the requirements of this memorandum. This agency policy must promote the use of cloud computing products and services that meet FedRAMP security requirements and other risk-based performance requirements as determined by OMB, in consultation with GSA and CISA. |
本覚書の発行から180日以内に、各機関は本覚書の要件に沿った機関全体のポリシーを発行または更新しなければならない。この省庁方針は、GSA及びCISAと協議の上、FedRAMPセキュリティ要件及びOMBが決定したその他のリスク・ベースの性能要件を満たすクラウド・コンピューティング製品及びサービスの利用を促進しなければならない。 |
| Within 180 days of issuance of this memorandum, GSA will update FedRAMP’s continuous monitoring processes and associated documentation to reflect the principles in this memorandum. |
本覚書の発行から180日以内に、GSAはFedRAMPの継続的監視プロセスと関連文書を更新し、本覚書の原則を反映させる。 |
| Within one year of the issuance of this memorandum, GSA will produce a plan, approved by the FedRAMP Board and developed in consultation with industry and potentially impacted cloud providers, to structure FedRAMP to encourage the transition of Federal agencies away from the use of government-specific cloud infrastructure. |
本覚書の発行から1年以内に、GSAは、FedRAMP理事会が承認し、産業界および影響を受ける可能性のあるクラウド・プロバイダと協議して策定した、政府固有のクラウド・インフラストラクチャの使用から連邦政府機関の移行を促進するためのFedRAMPを構成する計画を作成する。 |
| The FedRAMP Authorization Act requires GSA to establish a means for the automation of security assessments and reviews. Within 18 months of the issuance of this memorandum, GSA will build on this work so as to receive FedRAMP authorization and continuous monitoring artifacts exclusively through automated, machine-readable means. |
FedRAMP認可法は、セキュリティ評価とレビューの自動化のための手段を確立するようGSAに求めている。この覚書の発行から18ヶ月以内に、GSAは、FedRAMPの認可と継続的監視の成果物を、自動化された機械読み取り可能な手段によってのみ受け取ることができるように、この作業を構築する。 |
| X. Rescissions |
X. 取消 |
| This memorandum rescinds “Security Authorization of Information Systems in Cloud Computing,” issued by the Federal Chief Information Officer on December 8, 2011. |
本覚書は、2011 年 12 月 8 日に連邦最高情報責任者(Federal Chief Information Officer)により発行された「クラウド・コンピューティングにおける情報システムのセキュリティ認可(Security Authorization of Information Systems in Cloud Computing)」を取り消すものである。 |
| XI. Policy and Program Implementation Assistance |
XI. 政策およびプログラムの実施支援 |
| Questions about this memorandum should be addressed to the OMB Office of the Federal Chief Information Officer via email: ofcio@omb.eop.gov. |
本覚書に関する質問は、OMB連邦最高情報責任者事務局(Office of the Federal Chief Information Officer)まで電子メール(ofcio@omb.eop.gov)で送付されたい。 |
| 1 https://www.whitehouse.gov/wp-content/uploads/legacy_drupal_files/omb/assets/egov_docs/fedrampmemo.pdf |
| 2 Pub. L. No. 117-263, § 5921 (2022), codified in part at 44 U.S.C. §§ 3607-16. |
2 Pub. L. No. 117-263、第 5921 条(2022 年)、44 U.S.C. §3607-16 で一部成文化されている。 |
| 3 Id. § 3614(1)(A). |
3 同様である。§ 3614(1)(A). |
| 4 Whether a particular Federally operated service qualifies as a “cross-Government shared service” for these purposes will be determined by the FedRAMP PMO, consistent with any relevant policies or criteria established by the FedRAMP Board. |
4 連邦政府が運営する特定のサービスが、これらの目的における「政府横断的共有サービス」に該当するかどうかは、FedRAMP 理事会が定めた関連する方針または基準に沿って、FedRAMP PMO が決定する。 |
| 5 Id. § 44 U.S.C. § 3613(e)(1). |
5 同§ 44 U.S.C. § 3613(e)(1)を参照のこと。 |
| 6 Id. § 3613(e)(2)(B). |
6 同§ 3613条(e)(2)(B)による。 |
| 7 Id. § 3613(b). |
7 同§ 3613 条(b)。§ 3613(b). |
| 8 44 U.S.C. § 3609(a)(2). |
8 同 44 U.S.C. §3609(a)(2)。 |
| 9 The joint-agency FedRAMP authorization is similar to that of the FedRAMP Joint Authorization Board “provisional ATO” (JAB P-ATO) used under the prior FedRAMP policy structure. However, unlike a JAB P-ATO, multi-agency authorizations can be issued by any group of agencies that works with the FedRAMP Program. Existing JAB P-ATOs at the time of the issuance of this memorandum will be automatically designated as joint- agency FedRAMP authorizations. |
9 省庁合同によるFedRAMP認可は、以前のFedRAMP政策体系の下で使用されていたFedRAMP合同認可委員会の「暫定ATO」(JAB P-ATO)と類似している。ただし、JAB P-ATOとは異なり、複数機関の認可は、FedRAMPプログラムに協力する機関のどのグループからも発行できる。この覚書の発行時点で既存のJAB P-ATOは、自動的に共同機関のFedRAMP認証に指定される。 |
| 10 44 U.S.C. § 3610(d). |
10 44 U.S.C. § 3610(d). |
| 11 Inclusion of FedRAMP Authorization as a condition of contract award or use as an evaluation factor should be discussed with the agency acquisition integrated project team (IPT), including appropriate legal representation. Refer to FedRAMP.gov for Frequently Asked Questions regarding acquisition. |
11 契約締結の条件として FedRAMP 認可を含めるか、または評価要素として使用するかについては、適切な 法的代理人を含め、省庁の取得統合プロジェクト・チーム(IPT)と協議する必要がある。取得に関するよくある質問については、FedRAMP.gov を参照のこと。 |
| 12 44 U.S.C. § 3609(b)(2). |
12 44 U.S.C. § 3609(b)(2)。 |
| 13 FedRAMP will provide additional procedures related to this trial process, and agencies are encouraged to coordinate with FedRAMP to ensure that there is no potential gap in service when the trial period concludes. |
13 FedRAMP は、この試行プロセスに関連する追加手続きを提供する予定であり、プロバイダは、試行期間が終了したときにサービスにギャップが生じる可能性がないように、FedRAMP と調整することが推奨される。 |
| 14 44 U.S.C. § 3609(c). |
14 44 U.S.C. § 3609(c)。 |
| 15 Id. § 3609(c)(2). |
15 同上。§ 3609(c)(2). |
| 16 Artifacts in PDF, Word, or similar formats optimized for human readability should not be considered machine- readable data in this context because they will not as effective for reliably automating program processes as data formats optimized for machine-based consumption (such as JSON, XML, and related formats). |
16 人間の可読性に最適化された PDF、Word、または同様の形式の成果物は、機械ベースの消費に最適化されたデータ形式(JSON、XML、および関連する形式など)ほどには、プログラムプロセスを確実に自動化するために有効ではないため、この文脈では機械可読データと考えるべきではない。 |
| 17 Access processes should be streamlined to expand the number individuals who can approve access, as well as streamline and broaden access for those with a need-to-know. This will also be accompanied by expanding the nature and scope of artifacts provided in a machine-readable format, including control inheritance artifacts. |
17 アクセスプロセスを合理化し、アクセスを承認できる個人の数を拡大するとともに、知る必要のある人々 のアクセスを合理化し、拡大すべきである。これには、管理継承の成果物を含め、機械可読形式で提供される成果物の性質と範囲を拡大することも伴う。 |
| 18 CISA’s Binding Operational and Emergency Directives may be viewed at: [Web] |
18 CISAの拘束的運用指令および緊急指令は、 [Web] で閲覧できる。 |
| 19 44 U.S.C. § 3608. |
19 44 U.S.C. § 3608. |
| 20 The Federal Secure Cloud Advisory Committee is established in accordance with the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023, as codified at 44 U.S.C. § 3616. |
20 連邦セキュア・クラウド諮問委員会は、連邦法典第 44 編第 3616 条に法典化されている 2023 会計年度ジェームズ・M・インホフ国防授権法に従って設立される。 |
| 21 44 U.S.C. § 3610(b). |
21 米国法律集第 44 編第 3610 条(b)。 |
| 22 Id. § 3610(c). |
22 同様である。§ 3610(c). |
| 23 National Institute of Standards and Technology Special Publication 800-37, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach. |
23 National Institute of Standards and Technology Special Publication 800-37, Guide for Applying the Risk Management Framework to Federal Information Systems: セキュリティ・ライフサイクル・アプローチ |
Recent Comments