政府機関向けクラウドの FedRAMP セキュリティ テスト
FedRAMP の承認には、月次の脆弱性スキャン、年に一度の侵入テスト、継続的な監視といった厳格なセキュリティ テストが必要です。 KENSAI は、クラウド サービス プロバイダーが PMO 要件を満たす自動スキャンにより FedRAMP ATO を実現および維持できるよう支援します。
FedRAMP 評価を開始する → 「FedRAMP レポート」を参照してください。FedRAMP セキュリティ テスト要件
FedRAMP は NIST SP 800-53 に基づいて構築されており、クラウド サービス プロバイダー (CSP) は継続的な監視による特定のセキュリティ制御を実装する必要があります。セキュリティ テストの要件は影響レベルによって異なります。
| FedRAMP レベル | 脆弱性スキャン | 侵入テスト | コンモン頻度 |
|---|---|---|---|
| 低い | 毎月 | 年間 | 毎月 |
| 適度 | 月次(OS、DB、Webアプリ) | 年間 | 毎月 |
| 高い | 毎月(すべてのコンポーネント) | 年間 | 毎月 + 臨時 |
オペレーティング システム、データベース、Web アプリケーションの毎月の認証済み脆弱性スキャン。スキャンでは現在の CVE データを使用する必要があります。結果は、定義された期間内に分析する必要があります。
FedRAMP 認定の第三者評価機関 (3PAO) または同等の資格のあるテスターによる年次侵入テスト。認可境界内のすべてのコンポーネントをカバーする必要があります。
重大な脆弱性: 30 日間。高い脆弱性: 30 日。中程度: 90 日。低: 180 日。 ConMon のレビューでは、すべての時間枠が厳密に適用されます。
USGCB/CIS ベンチマーク構成はすべてのコンポーネントに必要です。脆弱性スキャンでは、構成が準拠していることを確認する必要があります。
💡 FedRAMP Rev5 (2024):FedRAMP は 2024 年に NIST SP 800-53 Rev5 に更新されました。主な変更点には、新しいサプライ チェーン リスク管理コントロール (SR ファミリ)、拡張されたクラウド固有のガイダンス、更新された評価手順が含まれます。既存の認可は、政府機関が合意したスケジュールに沿って移行する必要があります。
FedRAMP 継続監視 (ConMon)
ConMon は、多くの CSP が最初の承認を獲得した後に苦労する場所です。通常、毎月の成果物には次のものが含まれます。
- すべての境界内コンポーネントの脆弱性スキャン結果
- 改善ステータスを含むアクション計画とマイルストーン (POA&M) の更新
- 新しいコンポーネントのインベントリの更新
- インシデントの報告 (該当する場合)
- 脆弱性修復メトリクスを追跡する重要業績評価指標 (KPI)
毎月の ConMon パッケージを予定どおりに配信できないと、ATO の審査が行われ、取り消しが行われる可能性があります。これは、連邦政府の収入を得ている CSP にとって壊滅的な結果となります。
FedRAMP のスキャン要件
FedRAMP スキャン要件は、ほとんどのコンプライアンス フレームワークよりも具体的です。
- 認証されたスキャンが必要です:すべての OS インスタンスの認証情報付きスキャンにより、ネットワークのみのスキャンよりも詳細な脆弱性の検出が可能になります。
- データベースのスキャン:すべてのリレーショナル データベースに対する個別の認証情報付きデータベース スキャン
- Web アプリケーションのスキャン:すべての Web アプリケーション コンポーネントの DAST スキャン
- コンテナのスキャン:(FedRAMP Rev5 追加) コンテナー イメージと Kubernetes 構成をスキャンする必要がある
- 誤検知のドキュメント:ベンダーは、調査結果をクローズする前に、誤検知を正式に文書化し、正当化する必要があります。
KENSAI による FedRAMP 認証のサポート方法
✓ 毎月のスキャン自動化
すべての FedRAMP 境界内コンポーネントにわたる月次スキャンを自動化し、スケジュール設定、実行、ConMon の期限に合わせたレポート配信を行います。
✓ 認証されたOS/DBスキャン
Windows、Linux、および主要なデータベース プラットフォームの認証スキャンは、FedRAMP RA-5 認証スキャン要件を満たしています。
✓ POA&Mの統合
結果を FedRAMP POA&M 形式 (Excel/CSV) に直接エクスポートします。 FedRAMP SLA に基づいて修復ステータスと期限を追跡します。
✓ コンテナとクラウドのスキャン
Kubernetes および最新の FedRAMP 境界で一般的なコンテナベースのアーキテクチャの Rev5 コンテナ イメージ スキャン要件をカバーします。
✓ CVE 通貨検証
KENSAI は NVD および CISA KEV カタログを使用しており、現在の脆弱性データベースの使用に関する FedRAMP 要件を満たしています。
✓ ConMon パッケージの生成
スキャン結果、KPI、傾向分析を含む毎月の ConMon パッケージを FedRAMP が期待する形式で自動生成します。
FedRAMP 認証を高速化する
KENSAI は、FedRAMP 認証に必要な自動脆弱性スキャン、ConMon レポート、POA&M 追跡を提供します。セキュリティ体制を向上させながら、毎月の ConMon の運用負担を軽減します。
FedRAMP 評価を開始する → FedRAMP エキスパートに相談する