Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP の概要
米国連邦情報セキュリティ管理プログラム (FedRAMP) は、連邦情報セキュリティ管理法 (FISMA) に基づくクラウド コンピューティング製品とサービスの評価、監視、承認のための標準化されたアプローチを提供し、連邦政府機関によるセキュリティで保護されたクラウド ソリューションの導入を加速するために設立されました。
管理予算局では、すべての行政機関が FedRAMP を使用してクラウド サービスのセキュリティを検証する必要があります。 (他の機関も採用しているので、公共部門の他の分野でも役に立ちます。国立標準技術研究所 (NIST) SP 800-53 は、必須の標準を設定し、情報システムのセキュリティ カテゴリ (機密性、整合性、可用性) を確立して、情報と情報システムが侵害された場合のorganizationへの潜在的な影響を評価します。 FedRAMP は、クラウド サービス プロバイダー (CSP) がこれらの標準を満たしていることを認定するプログラムです。
連邦政府機関にサービスを販売することを望む CSP は、FedRAMP コンプライアンスを実証するために次の 3 つのパスを取ることができます。
- 共同承認委員会 (JAB) から暫定的な運用権限 (P-ATO) を取得します。 JAB は、FedRAMP の主要なガバナンスと意思決定機関です。 国防総省、国土安全保障省、一般サービス局の代表者が役員を務めます。 取締役会は、FedRAMP コンプライアンスを実証した CSP に P-ATO を付与します。
- 連邦政府機関から運用機関 (ATO) を受け取る。
- または、プログラム要件を満たす CSP 提供パッケージを開発するために、個別に作業します。
これらの各パスには、FedRAMP Program Management Office (PMO) による厳格な技術的レビューと、プログラムによって認定されている独立したサード パーティorganizationによる評価が必要です。
FedRAMP の承認は、NIST のガイドライン (低、中、高) に基づいて 3 つの影響レベルで付与されます。 これらのレベルは、機密性、整合性、または可用性の損失がorganizationに与える可能性がある影響をランク付けします。低 (制限された効果)、中程度 (重大な悪影響)、高 (重大または致命的な影響) です。
Microsoft と FedRAMP
Azure Government、Dynamics 365 Government、Office 365米国政府を含む Microsoft の政府機関向けクラウド サービスは、米国連邦リスクおよび承認管理プログラム (FedRAMP) の要求要件を満たしているため、米国連邦政府機関は Microsoft クラウドのコスト削減と厳格なセキュリティの恩恵を受けることができます。
Microsoft 政府機関向けクラウド サービスは、公共部門のお客様に、FedRAMP に準拠した豊富なサービスと、 FedRAMP High ブループリントを含む堅牢なガイダンスと実装ツールを提供します。これは、お客様が FedRAMP High コントロールを実装する必要がある Azure にデプロイされたアーキテクチャのコア セットをデプロイするのに役立ちます。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure および Azure Government
- 米国政府Dynamics 365
- Intune
- Office 365 (米国政府、米国政府 - 高、米国政府の防衛)
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
- Windows 365 (米国政府、米国政府 - 高)
Azure、Dynamics 365、FedRAMP
Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure FedRAMP オファリングに関するページを参照してください。
Office 365と FedRAMP
- Office 365とOffice 365米国政府は、米国保健福祉省 (DHHS) の ATO を持っています。
- Office 365米国政府機関は、米国国防情報システム庁 (DISA) の P-ATO を持っています。 米国政府防衛Office 365展開を希望するお客様は、DISA P-ATO を使用して機関 ATO を生成して、受け入れを文書化することができます。
- Office 365 (エンタープライズおよびビジネス プラン) とOffice 365米国政府は、DHHS 検査官事務所から中程度の影響レベルで FedRAMP 機関 ATO を持っています。 Office 365米国政府は、この承認を取得した最初のクラウドベースの電子メールおよびコラボレーション サービスでした。
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性を確保するために、同じ地理的領域内 (たとえば、米国) 内の他のリージョンに顧客データをレプリケートする場合がありますが、Microsoft は選択した地理的領域の外部で顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): FedRAMP マーケットプレースに Office 365 (商用) としてリストされ、Office 365 マルチテナント、GCC 環境とも呼ばれます。 Office 365 GCC クラウド サービスは、連邦政府、州政府、地方政府、部族政府、および米国政府に代わってデータを保持または処理する請負業者米国利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションで提供される情報は法的アドバイスを構成するものではありません。また、organizationに関する規制コンプライアンスに関する質問については、法律顧問に相談する必要があります。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| GCC | アクティビティ フィード サービス、Bing サービス、Bookings、Delve、Exchange Online、Exchange Online Protection、インフラストラクチャ、インテリジェント サービス、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office Service、Office 使用状況レポート、OneDrive for Business、People カード、SharePoint Online、Skype for Business、Windows Ink |
| GCC High | アクティビティ フィード サービス、Bing サービス、Bookings、Exchange Online、Exchange Online Protection、Intelligent Services、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、Peopleカード、SharePoint Online、Skype for Business、Windows Ink |
| DoD | アクティビティ フィード サービス、Bing サービス、Bookings、Exchange Online Protection、Exchange Online、Intelligent Services、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、Peopleカード、SharePoint Online、Skype for Business、Windows Ink |
Office 365 監査、レポート、証明書
Microsoft は、P-ATO および ATO を維持するために、Microsoft のクラウド サービスを再認定する必要があります。 これを行うには、Microsoft はセキュリティ制御を継続的に監視および評価し、サービスのセキュリティが引き続きコンプライアンスであることを示す必要があります。
よく寄せられる質問
Microsoft クラウド サービスは連邦情報セキュリティ管理法 (FISMA) に準拠していますか?
FISMA は、米国連邦政府機関とそのパートナーが FISMA 要件に準拠している組織からのみ情報システムとサービスを調達することを要求する連邦法です。 FISMA に準拠していることを示すほとんどの機関とそのベンダーは、特別出版 800-53 rev 4 で NIST によって識別されるコントロールを満たす方法を参照しています。 FISMA プロセス (基になる標準自体ではなく) は、2011 年に FedRAMP に置き換えられました。
FedRAMP は誰に適用されますか?
"FedRAMP は、低および中程度のリスク影響レベルでの連邦政府機関のクラウドデプロイとサービス モデルに必須です。" CSP を関与させたい連邦政府機関は、FedRAMP の仕様を満たす必要がある場合があります。 さらに、連邦政府が使用する製品またはサービスにクラウド テクノロジを採用する企業は、ATO を取得する必要があります。
機関が独自のコンプライアンス作業を開始する場所
FedRAMP を正常にナビゲートし、要件を満たすために連邦政府機関が実行する必要がある手順の概要については、「 承認を受ける: 機関の承認」を参照してください。
代理店の承認プロセスで Microsoft コンプライアンスを使用できますか?
はい。 Microsoft クラウド サービスの認定資格は、連邦政府機関の ATO を必要とするプログラムまたはイニシアチブの基礎として使用できます。 ただし、これらのサービスの外部にあるコンポーネントに対して独自の承認を取得する必要があります。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。