はじめに
FedRAMP(Federal Risk and Authorization Management Program)では、セキュリティコントロール情報の交換と処理を容易にするために、NISTが開発した標準化されたフォーマットであるOpen Security Controls Assessment Language (OSCAL) を使用しています。この記事では、FedRAMPでOSCALを使用することの重要性と、その利点について説明します。FedRAMPとOSCALの関係
FedRAMP PMOは、OSCALを実装し、クラウドベンダーとのコンプライアンス活動を促進するガバナンス・リスク・コンプライアンス(GRC)ソリューションの入札依頼書(RFQ)を発表しました。このアプローチは、大きな機会を生み出すものですが、OSCALのより広範な採用に対する課題も生じます。OMB Memo M-24-15(2024年7月24日発行)は、GSAとFedRAMP PMOに、NIST OSCALを使用してFedRAMP ATOプロセスをストリームライン化するよう指示しています。OSCALの利点
OSCALを使用することで、セキュリティコントロール情報の交換と処理が容易になります。また、自動化されたマシンリーダブルな手段を使用してFedRAMP承認と継続的な監視アーティファクトを受け取る能力も確保されます。さらに、OSCALはベンダー中立のAPIフレームワークを開発し、組織間での効率的な採用を促進することができます。課題と推奨事項
しかし、OSCALの実装には、いくつかの課題があります。例えば、現在のOSCALバージョンには、ツールや組織間で情報を交換するメカニズムがないため、手動でのOSCALペイロードの交換が遅くなることがあります。また、ベンダーロックインの回避も重要です。FedRAMP PMOは、ベンダー中立のAPIフレームワークを開発し、OSCALの有用性を高め、組織間での効率的な採用を促進する必要があります。結論
FedRAMPとOSCALは、セキュリティコントロール情報の管理の未来を形作る重要な要素です。OSCALを使用することで、セキュリティコントロール情報の交換と処理が容易になります。また、自動化されたマシンリーダブルな手段を使用してFedRAMP承認と継続的な監視アーティファクトを受け取る能力も確保されます。FedRAMP PMOは、ベンダー中立のAPIフレームワークを開発し、OSCALの有用性を高め、組織間での効率的な採用を促進する必要があります。
参考情報