Azure の米国連邦リスク承認管理プログラム (FedRAMP) コンプライアンスへの道を加速することは、学習リソースと実装ツールを提供する重点的な取り組みです。 目標は、プロジェクトのスコープと実装中の教育とサポートです。 さらに、Microsoft は主要な評価および自動化パートナーと協力して、コンプライアンス ニーズを満たすのに役立つ参照アーキテクチャとソリューションを共有します。
このフィールドでサービスを提供するパートナーは、サービスの範囲を拡大するオファリングをマーケットプレースに公開できます。
顧客
米国政府機関やその他の多くの組織は、業務を遂行するために商用ソフトウェア企業に依存しています。 FedRAMP は、クラウド コンピューティング製品とサービスを評価、監視、承認するための標準化されたアプローチを提供するために確立されました。 このアプローチでは、個々の機関のセキュリティ評価を実施するために必要なコスト、時間、およびリソースを節約する "do once, use many times" フレームワークを使用します。 FedRAMP は、米国国立標準技術研究所 (NIST) SP 800-53 標準に基づいており、FedRAMP コントロールとコントロールの機能強化によって強化されています。
クラウド サービスには、次の 2 種類の FedRAMP 承認があります。
- FedRAMP 共同承認委員会 (JAB) によって発行された暫定運用機関 (P-ATO)
- 運用機関の機関機関 (ATO)
P-ATO プロセス
FedRAMP P-ATO は、JAB によるクラウド サービス プロバイダー (CSP) 承認パッケージの最初の承認です。 ある機関は、P-ATO に依存して、ATO に対して、その機関内のクラウド サービスの取得と使用を許可できます。 JAB は、米国国防総省 (DoD)、国土安全保障省 (DHS)、および一般サービス管理 (GSA) の最高情報責任者 (CIO) で構成され、それぞれのメンバー組織から指定された技術代表者 (TR) によってサポートされています。 P-ATO は、JAB がクラウド サービスの承認パッケージを確認し、クラウド サービス オファリングに ATO を付与するときに使用する連邦機関に暫定的な承認を提供したことを意味します。
Agency ATO プロセス
代理店の承認プロセスの一環として、CSP は、クラウド サービスのセキュリティ パッケージをレビューする機関のスポンサーと直接連携します。 セキュリティ評価を完了すると、機関 (またはその設計担当者) の責任者が ATO を付与できます。
そのため、ISV は JAB 承認を選択できます。この認証は、そのソリューションに一般化された承認を付与し、複数の機関で使用できます。 このプロセスは長くなる傾向があります。 また、サービスを提供している政府機関の顧客に固有の機関 ATO を選択することもできます。 この顧客はスポンサーとして機能し、他の機関との"相互性"を持つ場合もあります。これにより、別の顧客との会社のソリューションの迅速かつスムーズな導入が可能になります。
Partners
Microsoft はパートナーを通じてスケーリングできます。 スケールは、より予測可能で、コスト効率が高く、迅速な配信を作成することを可能にします。 これらの懸念は、ATOの追求にも共通しています。 Microsoft では、主に次の 2 種類のパートナーシップを有効にすることに重点を置いている。
- アドバイザリ: パートナーは、個々の手順または ATO プロセス全体を顧客にガイドする Azure に基づいてオファリングを作成できます。 これらのパートナーは、Azure Marketplace コンプライアンス オファリングに価値を追加する自動化されたソリューションにバンドルされたコンサルティング サービスを提供しています。 通常は、直接、参照、または Microsoft Azure Marketplace 経由で契約できます。
-
自動化: 重点を置いているオートメーション パートナーには、次の 2 種類があります。
- Azure とのサードパーティ ソリューションの統合を可能にし、FedRAMP パッケージからの制御を達成/満たすのに役立つ基本パートナー。 これらのパートナーは、推奨される参照アーキテクチャの一部です。
- FedRAMP System Security Plan (SSP) の生成、自己復旧、アラート、監視など、ATO 体験の特定の側面を自動化するのに役立つ真の自動化パートナー。
注
パートナーは、ソリューションを Azure Marketplace に発行するように求められます。 ガイダンスについては、次の手順を参照してください。
Azure Marketplace への発行
- パートナー ネットワークに参加する - 発行の要件ですが、簡単にサインアップできます。 手順については、「 パートナー センター アカウントを作成し、コマーシャル マーケットプレースに登録する」を参照してください。
- パートナー センターでコマーシャル マーケットプレース アカウントを作成するの手順に従って、パートナー センター アカウントをパブリッシャー/デベロッパー for Marketplace として有効にします。
- パートナー センター アカウントが有効になっている場合は、「 SaaS オファーの作成」で説明されているように、登録情報を SaaS アプリケーションとして発行します。
この領域の既存の Azure Marketplace オファリングの一覧については、 Azure Marketplace を参照してください。
その他のリソース
注
ここで提供される情報を使用すると、FedRAMP コンプライアンス プログラムにサインアップして学習できます。 このプログラムは、Azure および Azure Government のお客様が承認のために環境を正常に準備し、FedRAMP ATO を要求できるように設計されています。 この情報はいかなる種類のオファーを構成するものではありませんし、以下のフォームを提出してもプログラムへの参加は保証されません。 現在、パートナーや顧客と共有されるプログラムの詳細は概念的であり、予告なしに変更される可能性があります。
- FedRAMP トレーニング リソース。
- プログラムの要件に役立つ FedRAMP ドキュメントとテンプレート。
- FedRAMP Marketplace について理解を深めます。
- Azure Government のコンプライアンスの詳細を確認します。
次のステップ
詳細なヒントとトラブルシューティングについては、 オファーの種類別の発行ガイド を確認してください。 問題が解決しない場合は、パートナー センターでチケットを開きます。