FedRAMP の概要
米国連邦リスクおよび承認管理プログラム (FedRAMP) は、連邦情報セキュリティ管理法 (FISMA) に基づいてクラウド コンピューティング製品とサービスを評価、監視、承認するための標準化されたアプローチを提供します。 連邦政府機関によるセキュリティで保護されたクラウド ソリューションの導入を加速します。
管理予算局では、すべての行政機関が FedRAMP を使用してクラウド サービスのセキュリティを検証する必要があります。 他の機関も採用しているので、公共部門の他の分野でも役に立ちます。 国立標準技術研究所 (NIST) SP 800-53 は、必須の標準を設定します。 情報システムのセキュリティ カテゴリ (機密性、整合性、可用性) を確立し、情報システムと情報システムが侵害された場合のorganizationへの潜在的な影響を評価します。 FedRAMP は、クラウド サービス プロバイダー (CSP) がこれらの標準を満たしていることを認定するプログラムです。
連邦政府機関にサービスを販売することを望む CSP は、FedRAMP コンプライアンスを実証するために次の 3 つのパスを取ることができます。
- 共同承認委員会 (JAB) から暫定的な運用権限 (P-ATO) を取得します。 JAB は、FedRAMP の主要なガバナンスと意思決定機関です。 国防総省、国土安全保障省、一般サービス局の代表者が役員を務めます。 取締役会は、FedRAMP コンプライアンスを示す P-ATO を CSP に付与します。
- 連邦政府機関から運用機関 (ATO) を受け取る。
- プログラム要件を満たす CSP 提供パッケージを開発するには、個別に作業します。
これらの各パスには、FedRAMP Program Management Office (PMO) による厳格な技術レビューと、プログラムが認定する独立したサードパーティorganizationによる評価が必要です。
FedRAMP の承認は、NIST のガイドライン (低、中、高) に基づいて 3 つの影響レベルで付与されます。 これらのレベルは、機密性、整合性、または可用性の損失がorganizationに与える可能性がある影響をランク付けします。低 (制限された効果)、中程度 (重大な悪影響)、高 (重大または致命的な影響) です。
Microsoft と FedRAMP
Azure Government、Dynamics 365 Government、Office 365米国政府を含む Microsoft の政府機関向けクラウド サービスは、米国連邦リスクおよび承認管理プログラム (FedRAMP) の要求の厳しい要件を満たしています。 米国連邦政府機関は、Microsoft Cloud のコスト削減と厳格なセキュリティの恩恵を受けています。
Microsoft 政府機関向けクラウド サービスは、公共部門のお客様に、FedRAMP に準拠した豊富なサービスと、FedRAMP High ブループリントを含む堅牢なガイダンスと実装ツールを提供します。これにより、お客様は FedRAMP High コントロールを実装する必要がある、Azureデプロイされたアーキテクチャのコア セットをデプロイするのに役立ちます。
Microsoft のスコープ内のクラウド プラットフォームとサービス
- Azure および Azure Government
- 米国政府Dynamics 365
- Intune
- Office 365 (米国政府、米国政府 - 高、米国政府の防衛)
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
- Windows 365 (米国政府、米国政府 - 高)
Azure、Dynamics 365、FedRAMP
Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、FedRAMP オファリングAzureを参照してください。
Office 365と FedRAMP
- Office 365米国政府 (GCC および GCCH) には、米国政府機関の ATO があります。 詳細については、GCC と GCCH の FedRAMP Marketplace エントリを参照してください。
- Office 365米国政府機関は、米国国防情報システム庁 (DISA) の P-ATO を持っています。 米国政府防衛Office 365展開する場合は、DISA P-ATO を使用して機関 ATO を生成して、承認を文書化できます。
Office 365環境
Microsoft Office 365はマルチテナント ハイパースケール クラウド プラットフォームであり、世界中のいくつかのリージョンのお客様が利用できるアプリとサービスの統合されたエクスペリエンスです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性を確保するために、同じ地理的領域内 (たとえば、米国) 内の他のリージョンに顧客データをレプリケートする場合がありますが、Microsoft は選択した地理的領域の外部で顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): FedRAMP マーケットプレースに Office 365 (商用) としてリストされ、Office 365 Multitenant、GCC 環境とも呼ばれます。 Office 365 GCC クラウド サービスは、連邦政府、州政府、地方政府、部族政府、および米国政府に代わってデータを保持または処理する請負業者米国利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
お客様のorganizationは、適用されるすべての法律および規制の遵守を確保する責任を負います。 このセクションで提供される情報は、法的なアドバイスを構成するものではありません。 organizationの規制コンプライアンスに関する質問については、法務アドバイザーにお問い合わせてください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| GCC | アクティビティ フィード サービス、Bing サービス、Bookings、Delve、Exchange Online、Exchange Online Protection、インフラストラクチャ、インテリジェント サービス、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス、Office 使用状況レポート、OneDrive for Business、People カード、SharePoint Online、Skype for Business、Windows Ink |
| GCC High | アクティビティ フィード サービス、Bing サービス、Bookings、Exchange Online、Exchange Online Protection、Intelligent Services、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、Peopleカード、SharePoint Online、Skype for Business、Windows Ink |
| DoD | アクティビティ フィード サービス、Bing サービス、Bookings、Exchange Online Protection、Exchange Online、Intelligent Services、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、Peopleカード、SharePoint Online、Skype for Business、Windows Ink |
Office 365 監査、レポート、証明書
Microsoft は、P-ATO と ATO を維持するために、クラウド サービスを毎年再認定しています。 これを行うために、Microsoft はセキュリティ制御を継続的に監視および評価し、サービスのセキュリティがコンプライアンスに維持されていることを示します。
よく寄せられる質問
Microsoft クラウド サービスは連邦情報セキュリティ管理法 (FISMA) に準拠していますか?
FISMA は、米国連邦政府機関とそのパートナーが FISMA 要件に準拠している組織からのみ情報システムとサービスを調達することを要求する連邦法です。 FISMA に準拠していることを示すほとんどの機関とそのベンダーは、特別出版 800-53 rev 4 で NIST によって識別されるコントロールを満たす方法を参照しています。 FISMA プロセス (基になる標準自体ではなく) は、2011 年に FedRAMP に置き換えられました。
FedRAMP は誰に適用されますか?
FedRAMP は、低および中程度のリスク影響レベルでの連邦政府機関のクラウドデプロイとサービス モデルに必須です。 CSP を関与させたい連邦政府機関は、FedRAMP の仕様を満たす必要がある場合があります。 さらに、連邦政府が使用する製品またはサービスにクラウド テクノロジを採用する企業は、ATO を取得する必要があります。
機関が独自のコンプライアンス作業を開始する場所
FedRAMP を正常にナビゲートし、要件を満たすために連邦政府機関が実行する必要がある手順の概要については、 Rev5 機関の承認に関するページを参照してください。
代理店の承認プロセスで Microsoft コンプライアンスを使用できますか?
はい。 Microsoft クラウド サービスの認定資格は、連邦政府機関の ATO を必要とするプログラムまたはイニシアチブの基礎として使用できます。 ただし、これらのサービスの外部にあるコンポーネントに対して独自の承認を取得する必要があります。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。