FedRAMP相当性の主張はBOD 26-04の精査には耐えられない。本当の認証こそが有効。
連邦民間行政機関(FCEB)がクラウドサービスプロバイダーを評価する際、市場は静かに2つのカテゴリーに分かれています。すなわち、実際にFedRAMP認証を取得しているベンダー(厳格で独立した評価を受け、継続的な監視が義務付けられた公式FedRAMPプログラムによる認証)と、「FedRAMP同等性」を主張するベンダー(公式FedRAMPマーケットプレイスでは認められておらず、独立した検証もない自己申告型のポスチャー)です。これまで、この2つのカテゴリーの違いはコンプライアンス上の細かな違いに過ぎませんでしたが、CISAのBinding Operational Directive 26-04(BOD 26-04)により、運用リスクとして顕在化しました。
BOD 26-04はFCEB機関のみに適用されます。既知の悪用済み脆弱性(KEV)への特定のパッチタイムラインを義務付けるとともに、これらの機関が導入するクラウドサービスに対して継続的な認証要件を強化します。FCEB機関のセキュリティおよび調達チームにとって、この指令はFedRAMP認証済みベンダーがすでに対応できる体制を持っていることへのプレッシャーとなります。なぜなら、継続的な監視、パッチ適用速度の記録、インシデント対応の頻度はFedRAMP認証そのものの要件だからです。同等性を主張するベンダーは、いずれの独立した機関にもこうしたコミットメントをしていません。FCEB機関がクラウドベンダーにBOD 26-04準拠を証明できるか尋ねた場合、「同等」という回答は満足のいくものではありません。
これは調達上の抽象的な話ではなく、現実の市場動向です。連邦市場にサービスを提供する多くのクラウドサービスプロバイダーは、FedRAMP認証取得に必要な投資(第三者評価機関による審査、継続的な監視義務、インシデント対応の文書化、年次ペネトレーションテストなど)を理由に、FedRAMP認証の取得を選択していません。その代わり、「FedRAMP同等」「FedRAMP Ready」「FedRAMP基準に準拠」などの表現を用いて連邦顧客にアピールしています。しかし、これらはいずれもFedRAMPプログラムが実際に発行する「運用認可(Authorization to Operate)」や「暫定運用認可(Provisional Authorization to Operate)」ではありません。BOD 26-04は、同等性主張に依存してきたFCEB機関にとって、その違いの実務的な影響を強めています。
防衛産業基盤(DIB)の請負業者がCMMCの下で運用している場合、BOD 26-04は別の権限であり、彼らのコンプライアンス要件に追加されるものではありません。DIBのコンプライアンスは国防総省(DoD)および32 CFR Part 170を通じて管理されており、CISAは関与しません。CMMCトラックの顧客に関連する要件はNIST 800-171 SI-2であり、これにはすでにタイムリーなパッチ適用が義務付けられています。現在、連邦による執行基準が運用上の「タイムリー」の意味を定義しています。本記事はFCEBトラックに焦点を当てています。
主なポイント
1. BOD 26-04の圧力は、認証済みFedRAMPベンダーを優遇
FCEB向けクラウドサービスは、実際にFedRAMP認証を受けたベンダーのみが対応可能なパッチタイムラインおよび継続的な認証要件に直面しています。
2. FedRAMP同等性は公式プログラムで認められていない
FedRAMPマーケットプレイスには「認証済み」「審査中」「Ready」の3つのカテゴリーしかなく、「同等性」は含まれていません。つまり、独立した検証のない自己申告型のマーケティング主張にすぎません。
3. 継続的な監視こそが認証の実質的な証明
FedRAMP認証済みCSPは、毎月の脆弱性スキャン、年次ペネトレーションテスト結果、未解決のPOA&Mを認証当局に提出します。同等性主張ベンダーにはそのような記録がありません。
4. KEVカタログ掲載はパッチ速度の証拠提出を要求
CISAのカタログに既知の悪用済み脆弱性が掲載された場合、FCEB機関はクラウドベンダーのパッチタイムラインの証拠が必要となります。これはFedRAMP認証のみが提供できる証拠です。
5. 調達チームはマーケットプレイスで直接ステータスを確認すべき
BOD 26-04準拠のギャップが表面化する前に、marketplace.fedramp.govで認証ステータスを確認することは、監査プレッシャー下で問題が発覚するよりも優れたリスク管理です。
CMMC 2.0コンプライアンス DoD請負業者向けロードマップ
Read Now
FedRAMP認証が実際に要求するもの
FedRAMPコンプライアンスプロセスは、単なるチェックリストではありません。これは継続的な運用コミットメントであり、その違いは認証が実際に何を証明するかを評価する際に重要です。
FedRAMP認証では、クラウドサービスプロバイダーが第三者評価機関(3PAO)—ベンダーから独立した認定評価者—を起用し、FedRAMPベースライン(Low、Moderate、High:処理データの影響レベルに対応)に対して実装されたセキュリティコントロールを評価する必要があります。この評価により、連邦認証当局が運用認可(Authorization to Operate)を発行する前にレビューするセキュリティ評価報告書が作成されます。FedRAMP合同認証委員会による暫定ATO(P-ATO)は、政府全体で利用可能な認証を提供し、各機関が活用できます。
認証後は、継続的な監視義務が発生します。認証済みCSPは、毎月の脆弱性スキャンレポート、四半期ごとの重要変更通知、年次のセキュリティ評価を提出しなければなりません。また、既知の脆弱性、是正タイムライン、ステータスを記録したPOA&Mを維持します。これらの文書は、機関の認証当局およびFedRAMPプログラム管理室がレビューします。自己申告ではなく、独立したレビューを受け、監査も可能です。
3PAOによる評価プロセスだけでも、認証済みベンダーと同等性主張ベンダーを明確に分けます。3PAOは、FedRAMP 3PAO認定プログラムの下で米国試験所認定協会(A2LA)から認定を受けている必要があります。評価チームはシステムセキュリティ計画をレビューし、技術的コントロールをテストし、担当者へのインタビューを行い、独立した調査結果を作成します。ベンダー自身が評価報告書を作成することはできません。この独立性—調査結果がベンダーの利害によって歪められないという保証—こそが認証の構造的な信頼性です。同等性主張には、ベンダーの自己評価文書がどれほど詳細であっても、この独立性は一切ありません。
この運用インフラこそが、BOD 26-04のパッチタイムライン要件が実際にテストするものです。認証済みCSPは、脆弱性スキャンの頻度、パッチ適用速度、未解決事項に対する行動計画の証拠を文書化しています。FCEB機関がFedRAMP認証済みセキュアMFTやKiteworksセキュアファイル共有ベンダーにBOD 26-04準拠を証明できるか尋ねた場合、ベンダーは継続的な監視パッケージを提示できます。同等性主張ベンダーにはそれができません。
FedRAMP Moderate認証のベースラインは、NIST 800-53 Rev 5から抽出された325のコントロールをカバーしています。これらのコントロールは、アクセス制御、意識向上とトレーニング、監査と説明責任、構成管理、コンティンジェンシープランニング、識別と認証、インシデント対応、保守、メディア保護、物理的・環境的保護、計画、人事セキュリティ、リスク評価、システムおよび通信保護、システムおよび情報の完全性にわたります。SI-2の欠陥是正コントロール—BOD 26-04のパッチタイムラインに最も直接関連するコントロール—は3PAOによって評価され、継続的な監視パッケージに記録されます。「FedRAMP Moderate基準を満たす」と主張する同等性ベンダーは、これらのコントロールを独立してテストされていません。
属性ベースアクセス制御(ABAC)や監査ログは、認証と同等性主張の違いがFCEB機関にとって直接的な運用上の影響をもたらす追加のコントロールドメインです。認証済みプラットフォームは、連邦要件に準拠したフォーマットと保持期間で監査ログを維持します。ABACの実装もアクセス制御ベースラインに対してテストされます。これらは単なる文書化作業ではなく、第三者によって独立して検証された運用コントロール評価です。同等性主張はその検証の代替にはならず、BOD 26-04の監査上の意味合いにより、そのギャップは重大です。
同等性市場の成長背景
「FedRAMP同等性」カテゴリーが生まれたのは、FedRAMP認証が高コストかつ時間がかかるためです。FedRAMP Moderate認証の取得には通常12〜24か月、数百万ドル規模の評価・是正・文書化コストが必要です。多くのクラウドサービスプロバイダー—特に小規模ベンダーや連邦専業でない企業—は、認証プロセスを経ずに自社のセキュリティポスチャーをFedRAMP要件と同等と位置付ける方が容易だと考えました。
FedRAMPマーケットプレイスは、公式の認証済みサービス、審査中サービス、FedRAMP Ready認定サービスのリストを公開しています。「FedRAMP Ready」は、3PAOがベンダーのセキュリティ能力がFedRAMP要件と一致していることを検証し、認証取得の見込みが高いことをFedRAMP PMOが確認した場合に付与される市場準備認定であり、認証そのものではありません。公式マーケットプレイスのいずれかのカテゴリーに掲載されていないサービスは、マーケティング資料で何を主張していても、FedRAMP上の公式な地位はありません。
FCEB機関にとって問題なのは、調達プロセスがこの違いを必ずしも見抜けないことです。調達担当者がベンダーのゼロトラスト・アーキテクチャ文書やセキュリティ認証をレビューする際、すべてのクラウドサービスについてマーケットプレイスでステータスを確認する余裕がない場合があります。同等性主張は、その審査を通過するように設計されています。認証主張のように聞こえるが、実際には認証主張ではありません。
このパターンは、いくつかの市場動向によって長年強化されてきました。第一に、FedRAMP認証のバックログ—特定の時期には合同認証委員会の審査待ちが数年に及ぶことも—が、ベンダーが認証を待つ間、機関が非認証ソリューションを受け入れる圧力を生みました。一部のベンダーは、その待機期間中に同等性主張を根拠に機関との関係を築き、認証バックログが解消された後も認証プロセスを完了せず、その関係を継続させました。第二に、連邦調達システムの複雑さが、曖昧な主張が審査をすり抜ける機会を生み出しています。「FedRAMP準拠」を要求するRFP文言は、調達担当者がマーケットプレイスを確認しない限り、同等性主張で回答可能です。第三に、一部の同等性主張は、SOC 2 Type IIレポート、ISO 27001認証、ペネトレーションテスト結果など、厳格さを印象付ける詳細なセキュリティ文書を伴うことがあり、FedRAMPプログラムの具体的な要件を満たしていなくても信頼性があるように見せかけます。
しかし、これらの文書はいずれもFedRAMP認証の代替にはなりません。SOC 2はベンダーのサービスコミットメントやシステム要件に関連するコントロールを評価しますが、FedRAMPのコントロールベースラインとは異なります。ISO 27001は異なる範囲・コントロール要件を持つ情報セキュリティ管理システム規格です。FedRAMPのペネトレーションテストガイダンスに従い、認定3PAOが実施していないペネトレーションテスト結果は、FedRAMPのペネトレーションテストと同等ではありません。一部ベンダーが用いるFedRAMP Moderate同等性という枠組みも、この事実を変えるものではありません。代替コンプライアンスフレームワークに基づく同等性主張も、FedRAMPプログラム上の地位はなく、BOD 26-04準拠に必要な継続的監視記録も生み出しません。
BOD 26-04は、同等性ギャップの運用上の影響を変えました。FCEB機関に必須のパッチタイムラインは、機関が依存するクラウドサービスにも必須となります。クラウドベンダーが要求された期間内にパッチ適用速度を証明できなければ、機関はBOD 26-04のパッチ要件を満たせません。同等性主張ベンダーはその期間へのコミットメントをしていません。FedRAMP認証ベンダーはコミットしており、それを満たす運用プロセスを維持している証拠を文書化しています。
BOD 26-04が連邦調達の計算式をどう変えるか
CISAのBinding Operational DirectiveはFCEB機関に適用され、機関の技術スタックに運用上の義務をもたらします。FCEB機関が既知の悪用済み脆弱性の是正をBOD 26-04で要求された場合、継続的な監視文書やパッチ管理プロセスのないクラウドベンダーが管理するシステムでは是正できません。
CISAの既知の悪用済み脆弱性カタログ(KEV)は、BODのパッチタイムラインを牽引し、ファイル転送やコンテンツコラボレーションプラットフォームなど、広く導入されているエンタープライズソフトウェアの脆弱性も含まれています。2026年6月には、SolarWinds Serv-U MFTの重大な脆弱性がKEVカタログに追加され、実際の悪用も確認されました。FCEB機関がセキュアMFTやKiteworksセキュアメールプラットフォームを利用している場合、ベンダーのパッチ対応がBODで義務付けられたタイムラインに合致しているかどうかの確信が必要です。
FedRAMP認証済みベンダーの場合、その回答は継続的監視パッケージに文書化されています。脆弱性スキャン、パッチ適用、行動計画の監査ログは、認証当局がレビューするライブ記録です。同等性主張ベンダーの場合、回答はベンダーが機関の問い合わせに応じて提供する内容次第です。
調達上の意味は明確です。FedRAMPコンプライアンス—実際の認証(同等性主張ではなく)—は、BOD 26-04環境下でFCEB向けクラウド調達の技術的に正当な根拠となります。同等性主張に依存してきた機関は、自組織のクラウドサービスを公式FedRAMPマーケットプレイスで再確認し、公式認証ステータスのないサービスを特定すべきです。
未検証の同等性主張による運用リスクは、パッチタイムラインにとどまりません。BOD 26-04は継続的な認証要件も強化しており、FCEB機関はクラウドサービスがサービスライフサイクル全体を通じて認証を維持していることを保証しなければなりません(初期調達時だけでは不十分)。契約締結時の同等性主張には再検証の仕組みがありません。FedRAMP認証は、継続的な監視成果物の提出を義務付けています。FedRAMP認証済みベンダーのセキュリティポスチャーが劣化した場合、その劣化は継続的監視記録に現れます。同等性主張ベンダーのセキュリティポスチャーが劣化しても、機関が独立して検出する仕組みはありません。
連邦監査人や監察官は、機関のセキュリティプログラムのレビューにクラウドサービスの認証ステータスを含め始めています。機関が公式リストに掲載されていない、連邦セキュリティ基準への検証可能なコミットメントもないクラウドサービスで重要な業務を運用していることが判明すれば、監査リスクが生じ、CISOや認証当局はそのリスクを受け入れなくなっています。監査リスク、BODの執行、KEVカタログの拡大が組み合わさり、認証済みFedRAMPの重要性は2年前より格段に高まっています。
CMMC 2.0コンプライアンスとFedRAMP認証は、異なるフレームワーク・顧客層を対象としていますが、共通の原則を持っています。それは「セキュリティコントロールの独立した検証が、単なる主張と本当のコミットメントを分ける」ということです。FCEB機関にとって、FedRAMP認証こそがその独立した検証です。これは、クラウドベンダーが連邦基準を満たし、その評価が独立してレビューされ、継続的な監督下でそのポスチャーを維持していることを示す唯一の文書です。
継続的監視ギャップ
FedRAMP認証と同等性主張の間で運用上最も重要な違いは、初期評価ではありません。認証が要求し、同等性主張が完全に省略している「継続的監視インフラ」です。
FedRAMPの継続的監視要件では、認証済みCSPがセキュリティコントロール実装の最新インベントリを維持し、定期的なスキャンで脆弱性を特定・記録し、毎月のレポートを機関に提出し、定められた頻度で行動計画を更新することが義務付けられています。これにより、ベンダーのセキュリティポスチャーを時系列で監査可能な記録が作成されます(単なる評価時点だけでなく)。
FCEB機関がBOD 26-04要件に対応する場合、この継続的監視パッケージが証拠となります。クラウドベンダーのパッチ管理プロセスが実在し、文書化され、監督下にあることを示します。機関の認証当局が、ベンダーの是正タイムラインのコミットメントが信頼できるかどうかを評価できるようにします。また、連邦監査人や監察官が機関のクラウドセキュリティポスチャーを審査する際に期待する文書を提供します。
同等性主張ベンダーには、認証を維持していないため継続的監視パッケージがありません。彼らが作成するセキュリティ文書はすべて社内生成であり、独立した機関によるレビューも継続的な検証もありません。これは認証済みサービスとは根本的に異なるリスクプロファイルであり、BOD 26-04のタイムラインによってその違いが明確になります。
継続的監視ギャップは、BOD 26-04を超えて実務上の影響を持ちます。データガバナンス義務、CUI取扱要件、ITARコンプライアンスフレームワークはすべて、機密なCUIや輸出管理データを取り扱うプラットフォームが検証済みセキュリティコントロール下で運用されていることを機関が証明できるかどうかに依存しています。FedRAMP認証(継続的監視インフラ付き)は、その証明を提供します。同等性主張はできません。機関自身のデータガバナンスプログラムが、機密データの流れとそれを管理するセキュリティコントロールの所在を説明することを求める場合、「ベンダーが同等性を主張している」では説明になりません。政府データの所在を特定するデータ分類プログラムは、FedRAMP認証プラットフォームが必要な保護レベルのすべてのデータフローを管理していることを担保する前提条件です。
継続的監視インフラはまた、FCEB機関が連邦ゼロトラスト戦略の下で導入しているゼロトラスト・アーキテクチャ要件もサポートします。ゼロトラストはデバイスやユーザー状態の継続的な検証を要求しますが、これは基盤となるクラウドプラットフォームが最新のセキュリティコントロール、文書化された設定、リアルタイムのポスチャーを独立して検証されていることに依存します。FedRAMPの継続的監視アーキテクチャは、単発の同等性自己評価では再現できない形でゼロトラスト原則と整合しています。
KiteworksはFedRAMPコンプライアンス(Moderateレベル)を取得しており、これは同等性主張ではなく実際の運用認可です。Kiteworksはまた、CMMCトラック(DIB顧客)向けにCMMCレベル2認証も取得しており、DoDコンプライアンスフレームワークに対しても独立して検証されたセキュリティポスチャーを提供しています。FedRAMP Moderate認証により、Kiteworksは継続的監視インフラ、パッチ管理文書、第三者評価記録を維持し、BOD 26-04準拠に必要な体制を整えています。FCEB機関がコンテンツ交換プラットフォーム(セキュアMFT、Kiteworksセキュアメール、Kiteworksセキュアファイル共有)を評価する際は、ベンダーのマーケティング資料ではなく、FedRAMPマーケットプレイスでKiteworksの認証ステータスを直接確認できます。これらの機能を支えるプライベートデータネットワークアーキテクチャは、すべてのコンテンツ通信チャネルでFedRAMP準拠のアクセス制御と監査ログを提供する、同じく独立して検証されたインフラです。
FCEB機関がクラウド認証を確認するための実践的ステップ
FedRAMP認証と同等性主張のギャップは、ベンダー資料からは必ずしも見えません。BOD 26-04の監査指摘が表面化する前にギャップを解消したい調達チームには、明確な確認ステップがあります。
第一のステップは、マーケットプレイスでの直接検索です。公式FedRAMPステータス(認証済み、審査中、Ready)のあるクラウドサービスはすべてmarketplace.fedramp.govに掲載されています。ベンダーの提供サービスが「認証済み」カテゴリーに掲載されていること、またそのインパクトレベル(Low、Moderate、High)が機関が処理するデータに合致していることを確認すべきです。FedRAMP Moderate認証のベンダーはHighインパクトレベルでの運用は認められていません。「審査中」だけの掲載では、FedRAMP要件を満たす認証はまだ取得していません。
第二のステップは、認証レターの請求です。認証レターには認証当局(P-ATOの場合は合同認証委員会、Agency ATOの場合は特定の機関担当者)と有効日が記載されています。連邦認証当局からの認証レターを提示できないベンダーは、マーケティング資料で何を主張していてもFedRAMP認証を取得していません。
第三のステップは、継続的監視ポスチャーのレビューです。特にBOD 26-04準拠の観点では、ベンダーの最新のPOA&Mと最新の脆弱性スキャンサマリーを請求すべきです。これらの文書は、ベンダーの現時点での脆弱性管理ポスチャー(未解決事項、是正タイムライン、タイムライン遵守状況)を示します。最新のPOA&Mを提示できないベンダーは、FedRAMP認証が要求する継続的監視義務を維持していないことになり、同等性主張とは別の懸念材料です。
第四のステップは、認証の適用範囲の確認です。FedRAMP認証は特定のシステムやサービス提供に限定されています。認証済みプラットフォームを持つベンダーが、認証範囲外の別製品・サービスを提供している場合、その提供には認証が及びません。調達する特定サービスがベンダーの認証パッケージで文書化された認証システム境界内に含まれているか確認すべきです。
第五のステップは、継続的監視維持の契約上のコミットメントを確立することです。FedRAMP認証は永続的なものではなく、継続的監視義務への継続的な準拠が必要です。契約書には、契約期間中FedRAMP認証ステータスを維持すること、認証が停止・取り消しとなった場合は通知すること、FedRAMPが要求するスケジュールで継続的監視成果物を認証当局に提出することを盛り込むべきです。クラウドベンダーの認証ステータスに対してサプライチェーンリスク管理の手法(定期的なマーケットプレイス再確認など)を適用することで、契約期間中に同等性へのドリフトが密かに発生するのを防げます。
これらのステップは単なる官僚的な手間ではありません。監査人から「機関の環境内のクラウドサービスが適切に認証されているか」と問われた際、BOD 26-04準拠を証明できる運用基盤です。監査ログ、継続的監視記録、認証文書こそがその答えとなる証拠であり、FedRAMP認証だけが独立した監督下でその証拠を生み出すフレームワークです。
BOD 26-04準拠要件にFedRAMP Moderate認証がどのように対応するか、詳細はカスタムデモを今すぐご予約ください。
よくあるご質問
FedRAMPプログラムが公式に認めるカテゴリーは3つです。FedRAMP Authorizedは、認定第三者評価機関による完全なセキュリティ評価を経て、合同認証委員会(P-ATO)または連邦認証当局(ATO)から運用認可を受けたクラウドサービスを指します。FedRAMP Readyは、3PAOがベンダーの認証取得準備状況を検証し、FedRAMP PMOが認証取得の見込みが高いと確認した場合に付与される市場準備認定であり、認証そのものではありません。両者とも公式FedRAMPマーケットプレイスに掲載されます。「FedRAMP Equivalent」は公式な地位がなく、FedRAMPプログラムの認定ではありません。これは、認証プロセスを完了していないベンダーがマーケティング目的で主張するものです。同等性主張ベンダーは3PAO評価を受けておらず、連邦当局からの認証もなく、継続的監視パッケージもなく、FedRAMPマーケットプレイス上での地位もありません。FCEB機関にとってこの違いはBOD 26-04下で重要です。なぜなら、BOD準拠に必要なパッチ速度や継続的監視の文書は、認証済みベンダーだけが持つものだからです。FedRAMPコンプライアンス(コンテンツ交換プラットフォーム向け)は、マーケットプレイスで検証可能な実際の認証を意味します。FedRAMP Moderate同等性主張を理解するには、SOC 2、ISO 27001、NIST自己申告などの代替コンプライアンスフレームワークが、FedRAMPプログラムの独立評価や継続的監督要件の代替にはならないことを認識する必要があります。組織はまた、FedRAMPプログラム概要を確認し、認証階層がデータ感度や機関のリスク許容度にどのように対応しているかを理解すべきです。
いいえ。CISAが発行するBinding Operational Directiveは、連邦民間行政機関(FCEB)にのみ適用されます。DoD請負業者、防衛産業基盤(DIB)組織、CMMC規制下の組織には適用されません。DIB請負業者のコンプライアンスはDoDが管理し、32 CFR Part 170およびCMMCプログラムを通じて運用されます。CMMC 2.0コンプライアンスにおける関連パッチ管理要件はNIST 800-171 Rev 2 SI-2であり、CUIを取り扱う組織が情報システムの欠陥を特定・報告・是正し、組織で定めた期間内にセキュリティ関連ソフトウェアの更新をインストールし、欠陥是正を構成管理プロセスに組み込むことを求めています。実務上の結果は同じ(既知の脆弱性のタイムリーなパッチ適用が両フレームワークで必要)ですが、権限、執行メカニズム、コンプライアンス文書は完全に別です。組織はDIB/CMMC顧客にBOD 26-04準拠を主張すべきではなく、CMMC評価でBOD 26-04の文言を使うべきでもありません。DIB顧客向けの正しい枠組みはNIST 800-171 SI-2です。ITARコンプライアンス要件が両トラックに重複する場合、関連する権限は国際武器取引規則(ITAR)であり、BOD 26-04やCMMCとは別です。ただし、FedRAMP認証済みプラットフォームがデータガバナンスコントロールを提供する場合、FCEBおよびITAR規制顧客の両方に対応します。
CISAの既知の悪用済み脆弱性カタログ(KEV)は、CISAが実際に悪用されていると確認した脆弱性の権威ある情報源です。FCEB機関にとって、BOD 26-04はKEVカタログ掲載脆弱性に対して必須のパッチタイムラインを設定します。つまり、カタログに掲載された脆弱性は、指定された期間内に是正することが義務付けられます。クラウド調達の実務的な意味は、FCEB機関がクラウドプラットフォームに影響するKEVカタログ脆弱性のBODパッチ義務を果たすには、クラウドベンダーが同じタイムラインでパッチ適用を証明できなければならないということです。FedRAMP認証済みベンダーは、脆弱性スキャン結果やパッチ適用記録などの継続的監視パッケージを維持しており、FCEB機関が必要とする文書を提供します。2026年6月にSolarWinds Serv-U MFTの脆弱性がKEVカタログ入りした際、FCEB機関がセキュアMFTプラットフォームを利用している場合、継続的監視記録でベンダーのパッチ状況を確認できます。FedRAMP認証済みCSPが維持する監査ログは、パッチ適用タイミングの検証可能な記録を生み出し、BOD 26-04準拠に求められる証拠となります。同等性主張ベンダーには同等の文書がありません。KEVエントリが問題となる前に、FedRAMPマーケットプレイスでFedRAMPコンプライアンス認証ステータスを確認する方が、BOD準拠ギャップが監査で発覚するのを待つよりも優れたリスク管理です。法執行、緊急サービス、その他高インパクトデータを処理するシステムにはFedRAMP High認証要件が適用されることも確認すべきです。KEVパッチタイムラインはその階層でも同様に適用されます。
FCEBの調達チームは、まずFedRAMPマーケットプレイス(marketplace.fedramp.gov)での直接検索から始めるべきです。マーケットプレイスには、すべてのFedRAMP認証済みサービス(P-ATOおよびAgency ATO)、審査中サービス、FedRAMP Ready認定サービスが掲載されています。これらのカテゴリーに掲載されていないベンダーがFedRAMPステータスを主張しても、連邦認証プロセス上の公式な地位はありません。認証済みサービスの場合、調達チームは認証レター(認証当局と認証日が記載)と、最新の継続的監視サマリー(ベンダーの現時点での脆弱性管理ポスチャーを示す)を請求すべきです。特にBOD 26-04準拠の観点では、ベンダーの最新のPOA&Mと最新の脆弱性スキャン結果を請求すべきで、いずれもFedRAMP認証済みベンダーが維持する継続的監視成果物です。コンテンツ交換プラットフォーム(Kiteworksセキュアメール、セキュアMFT、Kiteworksセキュアファイル共有)も、他のクラウドサービス同様にこの検証基準を満たすべきです。また、機関が導入しているゼロトラスト・アーキテクチャ要件が、ベンダーの主張ではなくプラットフォームのFedRAMP認証済み構成でサポートされていることも確認すべきです。ABAC実装や監査ログも、FedRAMP認証範囲で検証し、認証システム境界内に含まれていることを確認します。システムセキュリティ計画のレビューで、ベンダーが文書化した境界定義やコントロール実装を確認できます。
FedRAMP認証の階層は、処理されるデータのインパクトレベルを反映しています。FedRAMP Lowは、機密性・完全性・可用性の損失が限定的な悪影響しか及ぼさないシステムを対象とします。FedRAMP Moderate認証は、影響が深刻となるシステム(多くの政府機関の業務データ、個人識別情報、財務記録、機密だが未分類の情報など)を対象とします。FedRAMP High認証は、違反時に深刻または壊滅的な影響があるシステム(法執行データ、緊急サービスデータ、金融システムデータなど)を対象とします。FCEB機関が文書共有、ファイル転送、コミュニケーションに利用するコンテンツ交換プラットフォームの多くは、Moderateインパクトレベルで運用されています。FedRAMPコンプライアンス(Moderate)は、認定3PAOによる全Moderateベースラインコントロールセット(325コントロール)の評価、連邦当局による認証、同じベースラインでの継続的監視が義務付けられています。FedRAMP Moderate認証は、FCEB環境で機密だが未分類の情報、輸出管理データ、機関業務記録を処理するセキュアコンテンツ交換プラットフォームの適用基準です。機関が連邦ゼロトラスト戦略の下で導入しているゼロトラスト・アーキテクチャ要件も、クラウドサービスのModerateコントロールベースラインに合わせて整合されています。データガバナンスプログラムで機密データの流れを説明する必要がある場合、FedRAMPインパクトレベルをしきい値とし、Moderate感度で処理されるデータにはModerateレベル以上の認証プラットフォームが必要です。同等性主張は、どのインパクトレベルであっても、その認証の代替にはなりません。
追加リソース
- ブログ記事
中小企業向けCMMCコンプライアンス:課題と解決策 - ブログ記事
DIBサプライヤー向けCMMCコンプライアンスガイド - ブログ記事
CMMC監査要件:アセッサーがCMMC準備状況を評価する際に確認すべきポイント - ガイド
機密コンテンツ通信のためのCMMC 2.0コンプライアンスマッピング - ブログ記事
CMMCコンプライアンスの真のコスト:防衛請負業者が予算化すべき項目