FedRAMP High インパクト レベルを満たすために Microsoft Entra ID を構成する
Federal Risk and Authorization Management Program (FedRAMP) は、クラウド サービス プロバイダー (CSP) に対する評価および認可プロセスです。 具体的には、連邦政府機関で使用するためのクラウド ソリューション オファリング (CSO) を作成する CSP に対するプロセスです。 Azure と Azure Government は、FedRAMP 認定の最高位である、High Impact Level の Provisional Authority to Operate (P-ATO) を合同認定委員会から獲得しています。
Azure には、CSO に対して、または連邦機関として、FedRAMP の高評価を達成するためのすべてのコントロール要件を満たす機能が用意されています。 準拠させるために追加の構成またはプロセスを実行することは、組織の責任です。 この責任は、CSO の FedRAMP High 認可を求めている CSP と、Authority to Operate (ATO) を求めている連邦機関のどちらにも当てはまります。
マイクロソフトと FedRAMP
Microsoft Azure では、他のどの CSP よりも多くの Fedramp High Impact レベルのサービスをサポートしています。 また、Azure パブリック クラウド内のこのレベルは、多くの米国政府のお客様のニーズを満たしますが、より厳格な要件を持つ機関では、Azure Government に依存する場合があります。 Azure Government では、職員の高度なスクリーニングなどの追加の保護機能が提供されます。
Microsoft では、その認可を維持するために、毎年クラウド サービスの再認定が必要とされます。 これを行うために、Microsoft は継続的にセキュリティ コントロールを監視して評価し、サービスのセキュリティが引き続き準拠していることを明示しています。 詳細については、「Microsoft クラウド サービスの FedRAMP 認可」および「Microsoft FedRAMP 監査レポート」を参照してください。 他の FedRAMP レポートを受け取るには、Azure Federal Documentationに電子メールを送信します。
FedRAMP 認可を目指すには複数のパスがあります。 Azure の既存の認可パッケージとここのガイダンスを再利用して、ATO または P-ATO を取得するために必要な時間と労力を大幅に削減することができます。
ガイダンスのスコープ
FedRAMP High ベースラインは、NIST 800-53 Security Controls Catalog Revision 4 から 421 個のコントロールおよびコントロール拡張機能で構成されます。 該当する場合は、800-53 Revision 5 の明確な情報を記載しました。 この記事では、ID に関連するこれらのコントロールのサブセットで、構成する必要があるものについて説明します。
Microsoft Entra ID で構成を担当するコントロールのコンプライアンスの実現に役立つ規範的なガイダンスを提供します。 一部の ID コントロール要件に完全に対処するには、他のシステムの使用が必要になる場合があります。 他のシステムには、Microsoft Sentinel などのセキュリティ情報イベント管理ツールが考えられます。 Microsoft Entra ID の外部で Azure サービスを使用している場合、他にも考慮する必要があるコントロールがありますが、Azure に既に用意されている機能を使用して、コントロールを満たすことができます。
FedRAMP リソースの一覧を次に示します。