Federal Risk and Authorization Management Program (FedRAMP) レポート

このレポートには、サイトで見つかった FedRAMP に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。

問題点

Federal Risk and Authorization Management Program (FedRAMP) は、連邦政府機関が以下を利用することで実現する、クラウド・サービスを適用および使用する際のリスク・ベースのアプローチを提供します。

  • 情報システムに関して選択された影響レベルに応じた、クラウド・サービスに対する許可および継続的なサイバーセキュリティーに関する標準化されたセキュリティー要件。
  • クラウドサービスプロバイダ (CSP) によって実装されたセキュリティ制御について、独立したサードパーティによる一貫した評価を行うことができる適合性評価プログラム。
  • DHS、DOD、GSA のセキュリティ専門家で構成される共同認証会議 (JAB) がレビューしたクラウドサービスの認証パッケージです。
  • 連邦政府機関が FedRAMP 要件とベスト・プラクティスを取り入れる際に役立つ標準化された契約言語。そして
  • 政府全体で利用可能なクラウド・サービスの許可パッケージのリポジトリー。

FedRAMP プロセスは、クラウド・システムに関する FISMA 要件を機関が満たすための支援を行うと同時に、FISMA に準拠する際に特有の課題が生まれるクラウド・システムの複雑性に対処するように設計されています。このプログラムは、クラウド・サービス・プロバイダーのプラットフォームと製品を利用するための連邦政府機関の処理を簡素化します。

2011 年 12 月 8 日、OMB は、1 つ以上の局または機関により利用される、影響レベルが低程度および中程度のすべてのクラウド・サービスは FedRAMP 要件に準拠する必要があるということを記した Memo を公開しました。FedRAMP は、2012 年 6 月 6 日に Initial Operating Capability (IOC) を開始しました。2012 年 6 月 6 日の時点でまだ実装されていない、取得段階のクラウド・システムは、2014 年 6 月 5 日までに FedRAMP 準拠となる必要がありました。

FedRAMP は、国土安全保障省 (DHS)、一般調達局 (GSA)、国防総省 (DoD) の最高情報責任者から成る合同認定委員会 (JAB) が管理します。米国政府の Chief Information Officer Council (CIOC) (その Information Security and Identity Management Committee (ISIMC) を含む) は FedRAMP を承認しています。FedRAMP は ISIMC と共同しています。ISIMC は高優先度のセキュリティーと ID 管理に対する取り組みを特定し、それらの取り組みに対応するためのポリシー、手順、および標準に関する推奨を作成するためです。

AppScan の FedRAMP コンプライアンス・レポートでは、ご使用のクラウド・サービス WEB 環境で、FedRAMP ベースライン・コントロール資料への準拠に関連する潜在的な問題が自動的に検出されます。FedRAMP セキュリティー管理ベースラインは、クラウド・サービスに関連があり、クラウド・サービス特有の適用可能なパラメーターおよび修正によって、NIST の最低限のセキュリティー管理ガイドラインを更新します。

1. 規則の 14/18 セクションで検出された問題:
管理番号 制御
AC-4 [割り当て: 組織で定義された情報フロー制御ポリシー] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された権限を強制します。
AC-6 最小権限の原則を適用し、割り当てられた組織のタスクを実行するために必要なユーザー (またはユーザーに代わって動作するプロセス) に、許可されたアクセスのみを許可します。
AC-7.A [割り当て: 組織で定義された時間] におけるユーザーによる連続無効ログオンの試行の制限を強制する[割り当て: 組織で定義された期間]
AC-10 それぞれの[割り当て: 組織で定義されたアカウントおよび/またはアカウントタイプ] の同時セッション数を [割り当て: 組織で定義された数]に制限します。
AC-12 [割り当て: セッションの切断を必要とする組織で定義された条件またはトリガーイベント] の後にユーザーセッションを自動的に終了する
AC-17.1 情報システムでリモートアクセス方法をモニターおよびコントロールします。
CM-7

a.[割り当て: 組織で定義された重要な機能]のみを提供するようにシステムを設定します。 and

b.次の機能、ポート、プロトコル、ソフトウェア、サービスの使用を禁止または制限: [割り当て: 組織で定義された禁止または制限する機能、システムポート、プロトコル、ソフトウェア、サービス] .

IA-2 組織のユーザーを固有に識別して認証し、その固有の ID をユーザーの代理として動作するプロセスに関連付けます。
IA-5

c.組織は、認証文字が目的の使用に対して十分なメカニズムの強度を持っていることを確認することにより、利用者とデバイスの情報システム認証文字を管理します。

e.組織は、情報システムをインストールする際のデフォルトのコンテンツを変更することにより、ユーザーとデバイスの情報システムのオーセンティケータを管理します。

SC-5 情報システムは、以下のタイプのサービス拒否攻撃から保護するか、その影響を制限します: [割り当て: 組織で定義されたサービス拒否攻撃またはそのような情報のソースへの参照] .
SC-8 情報システムは、送信される情報の[FedRAMP 割り当て: 機密性と完全性]を保護します。
SC-13

情報システムは、適用される連邦法、行政命令、指令、ポリシー、規則、標準に従って、 [FedRAMP 割り当て: FIPS 検証または NSA 承認の暗号]を実装します。

SC-23 情報システムにより、通信セッションの信頼性が保護されます。
SI-3.A

情報システムのエントリポイントとエグジットポイントで悪性コード保護メカニズムを採用して、悪性コードを検出して根絶します。

SI-3.B

組織は、構成管理のポリシーと手順に従い、新しいリリースが利用可能になるたびに、悪性コード保護メカニズムを更新します。

SI-10 情報システムは、 [割り当て: 組織定義の情報入力]の有効性をチェックします。
SI-11.A

情報システムが生成するエラーメッセージでは、攻撃者に利用される可能性がある情報を露わにすることなく、修正アクションに必要な情報を提供します。