FISMAとFedRAMPの違いとは?
クラウドベースのサービスを政府に提供するには、政府が制定した連邦ITコンプライアンス基準を理解することが重要です。
クラウドファースト政策により、米国政府は各省庁に対し、商業的に利用可能なクラウドベースのサービスを採用する幅広い権限を与えることを約束しました。この採用の主な要因は、政府機関のITインフラ投資に対する投資利益率(ROI)の向上、政府機関のITセキュリティの強化、米国民へのより質の高いサービスの提供です。
ガートナーによると、2018年半ばには、政府組織の約半数がすでにクラウドサービスを積極的に利用していました。ハイブリッドクラウドやマルチクラウドの提供が目立つようになり、採用は増加傾向にあります。クラウドベースのサービスを政府に提供することを計画している場合、政府が制定した連邦政府のITコンプライアンス基準を基本的に理解することがこれまで以上に重要になります。連邦政府のITインフラストラクチャについて話すときによく議論されるITセキュリティ関連の2つの重要なコンプライアンス指令は、FISMAとFedRAMPです。
FISMAとFedRAMPは、政府のデータを保護し、連邦情報システム内の情報セキュリティリスクを低減するという同じハイレベルの目標を掲げています。両者とも、NIST Special Publication 800-53Aを基盤としています。しかし、連邦政府の方針、セキュリティ管理、認可という点では、両者は明らかに対照的です。
FISMAとは?
2002年に制定されたFISMA(連邦情報セキュリティ管理法)は、政府データの保存と処理に関するコンプライアンス・パラメーターを網羅しています。この要件は、連邦政府機関とその民間ベンダーに対し、連邦政府の情報システムのデータセキュリティ体制を確実に保護する情報セキュリティ管理の実装を求めるものです。連邦政府にサービスを販売するすべての民間企業は、FISMAの要件に準拠しなければなりません。
FISMA コンプライアンスの主要なフレームワークは、NIST SP 800-53です。簡単に言うと、ベンダーがFISMAに準拠するためには、NIST SP 800-53で特定されている連邦情報システムの推奨情報セキュリティ管理を実装する必要があります。FISMAの評価は、従来、単一の機関をサポートする情報システムに焦点を当てていました。
FISMAに準拠するベンダーは、取引を行う特定の連邦政府機関からATO(Authority to Operate)を受け取ります。ベンダーが複数の連邦機関と業務契約を結んでいる場合、各機関の特定のデータ・セキュリティ・ニーズに従ってセキュリティ管理が異なる可能性があるため、ベンダーは各機関から ATO を取得する必要があります。
FedRAMPについて話しましょう
FedRAMPを制定することで、政府はクラウドサービスプロバイダーの調達プロセスを各省庁にとって容易にすることを目指しました。最も基本的なレベルでは、FedRAMP は特にクラウド・サービス・プロバイダーを対象としています。政府機関が使用するためにFedRAMPの下で評価されるシステムは、プライベート・セクターの企業が使用する商用クラウドベースのシステム(IaaS、PaaS、SaaSなど)です。
FISMAまたはFedRAMPの下で評価される情報システムは、FIPS 199に従って、いくつかの異なる基準に基づいて高、中、低に分類されます。次に、セキュリティ分類に基づいて、NIST SP 800-53 の該当するセキュリティ対策を、影響度が高い、影響度が中程度、影響度が低いとして情報システムに適用します。FedRAMP 要件には、NIST SP 800-53 改訂第 4 版の標準 NIST ベースライン管理以上の追加管理が含まれます。これらの追加管理は、クラウド環境においてすべての連邦政府のデータが安全であることを保証するために、クラウド・コンピューティング特有の要素に対応しています。
FISMAとは異なり、FedRAMP ATOは、クラウド・サービス・プロバイダーがどの連邦政府機関とも取引できる資格を与えます。
FedRAMP認証プロセスは、その範囲が広いため、はるかに厳格でもあります。この認可プログラムでは、連邦政府機関に政府クラウドサービスを販売するために、クラウドプロバイダーが第三者評価組織(3PAO)による独立したセキュリティ評価を受けることが要件となっています。
結論
FedRAMP準拠の製品やサービスを探している連邦政府機関は、おそらくFISMA準拠であることも期待しているでしょう。クラウドサービスプロバイダーは、米国政府からのATOを維持するために、FISMAとFedRAMPの両方の規制に準拠する必要があります。
Palo Alto Networks は、サイバー攻撃の成功防止、機密データおよび機密データの保護、セキュリティ運用の最適化において、世界中の国家機関および連邦政府機関から高い信頼を得ています。
