FedRAMP CR26がパブリックプレビューで公開—認証に実際に何が求められるのか
FedRAMPは2026年5月4日に変更されました。このプログラムは「CR26(Consolidated Rules 2026)」をパブリックプレビューとして公開し、最終リリースは6月末に予定されています。組織がFedRAMP認証を保持している場合、取得を目指している場合、またはFedRAMPを要件とする連邦機関に販売している場合、CR26は見逃せない重要なアップデートです。FedRAMPの要件の表現方法、評価方法、追跡方法が根本的に書き換えられています。
最も大きな変化は、知識の取り扱い方そのものです。FedRAMPはこれまでも要件ベースでしたが、その要件はWordファイルやPDF、スプレッドシートなどのドキュメントに記載され、人が読んで解釈し議論するものでした。評価者とクラウドサービスプロバイダーの間でドキュメントの解釈が分かれ、評価の一貫性が失われたり、認証までの期間が延びたりしていました。CR26では、要件カタログがGitHub上の構造化データとして公開されます。各要件は個別のバージョン管理された機械可読なレコードとなります。評価者がシステムセキュリティ計画(SSP)の記述を読んで判断するのではなく、システムが実装が要件を満たしているか自動的に確認できるようになります。MUST/MUST NOT(必須/禁止)という表現により、解釈の曖昧さが排除されます。
SSPドキュメントへの影響は具体的です。従来の記述型フレームワークで作成されたSSPは、新しいクラス構造にマッピングし直す必要があります。このマッピング作業は、パブリックプレビュー期間中に進めておくことで、最終版公開前にギャップを特定できます。
5つの重要ポイント
1. 記述型ガイダンスから機械可読なルールへ
CR26では、従来の文章によるコンプライアンス文書が、GitHub上で公開されるMUST/MUST NOTの宣言的な構造化データに置き換わります。これにより、FedRAMPはプログラムによるコンプライアンス強制に大きく近づきます。各要件はバージョン管理されたクエリ可能なレコードとなり、ドキュメントの一部ではなくなります。評価者やクラウドサービスプロバイダーが要件の意味で意見を異にすることはなくなり、要件自体が自動化された言語で検証可能となります。KiteworksのFedRAMP認証体制もこの変化に合わせて構築されています。
2. インパクトラベルが認証クラスA〜Dに
Low/Moderate/High(低/中/高)は、アルファベットのクラス体系に置き換わります。この構造は加算型で、各クラスは前のクラスのすべてのコントロールに追加要件を加えたものです。クラスCは多くの連邦クラウド導入の実運用層で、従来のModerate(中)に相当します。クラスDは従来のHigh(高)をカバーします。既存のFedRAMP Moderate認証を持つ組織にとっては、現行ドキュメントをクラスC構造にマッピングすることが主な作業となります。
3. FedRAMP Readyは7月28日に廃止
この指定はその日以降「Legacy FedRAMP Ready」となります。連邦調達チームが新しいフレームワークに適応するにつれ、その商業的価値は低下します。FedRAMP Readyを営業資格として利用しているが、完全な認証取得を目指していない組織は、7月28日を厳格な計画締切日と捉え、CR26クラスフレームワークに基づく完全認証が新たな標準となることを認識すべきです。
4. 30か月の安定期間が2028年12月31日まで続く
CR26のルールは30か月間有効であり、クラウドサービスプロバイダーにとって認証戦略の計画期間がこれまでになく明確になります。これにより、認証投資のROI計算も変わります。従来は要件の変更で投資回収前にコストが増大することがありましたが、安定した期間が定義されることで計算が容易になり、複数年にわたる調達計画も立てやすくなります。
5. プレビュー言語で認証パッケージを書き直さない
最終版は6月末に公開されます。コメント期間もその時点で終了するため、最終言語に意見を反映させたい組織は、それまでにGitHubでコメントを提出してください。現行のSSPドキュメントを新しいクラス構造にマッピングする作業は今すぐ始め、パッケージの実質的な変更は最終版公開まで待ちましょう。
どのデータコンプライアンス規格が重要か?
Read Now
新しい認証クラス構造の仕組み
Low/Moderate/HighをクラスA〜Dに置き換えるのは、単なるラベル変更ではありません。クラス構造は加算型で、各クラスは前のクラスのすべての要件に追加コントロールを加えます。これにより、クラスの境界が明確になり、説明もしやすくなります。
多くの連邦請負業者やクラウドサービスプロバイダーにとって、クラスCが実運用上の認証層となります。これは従来のModerate(中)に相当し、CUIや大半の民間機関ワークロードを扱うシステムに必要なレベルです。KiteworksはFedRAMP認証を保持しており、クラスC構造はプラットフォームが対応する内容(セキュアメール、マネージドファイル転送、セキュアなファイル共有、機関間のコンプライアントなコラボレーション)と直接一致します。
クラスDは従来のHigh(高)に相当し、法執行機関、緊急サービス、金融情報など、最も機密性の高い非公開データを扱うシステムが対象です。この層では、コントロールの密度が高く、解釈の不一致がより大きなコストとなるため、機械可読な要件カタログの重要性がさらに増します。
実務的なコミュニケーション面でも利点があります。「当社はクラスC認証を取得しています」という表現は、「FedRAMP Moderate Authorization to Operateを取得しています」と言うよりも分かりやすいです。要件がGitHub上で機械可読かつ公開されているため、調達担当者はブリーフィングを求めずともクラスCの要件を自ら確認できます。
FedRAMP Ready廃止の意味
FedRAMP Readyは、クラウドサービスプロバイダーが3PAOによるレビューを受け、完全な認証取得に進む準備ができていることを示す予備的な指定として機能してきました。これは、完全な「Authorization to Operate」がなくても厳格な審査を受けていることを示すため、連邦市場で営業資格として意味がありました。
この指定は2026年7月28日に廃止されます。既存の保持者は「Legacy FedRAMP Ready」として残りますが、そのラベルの競争力は新しいフレームワークへの適応とともに低下します。FedRAMP Readyを営業資格として利用し、完全な認証取得を目指していない組織は、7月28日を厳格な締切日と捉えるべきです。
Field CISOのMario Lunato氏(Knox Systems)のガイダンスは明確です。パッケージの実質的な変更は、6月末に公開される最終版を待つべきです。現行のSSP言語やコントロールを新しいクラス構造に合わせるマッピング作業こそ、今取り組むべき活動です。
30か月の安定期間とその活用方法
2028年12月31日までルールの安定が約束されることは、CR26の中でも戦略的に最も重要な側面かもしれません。FedRAMPはこれまで、要件の変化や認証期間の長期化により、計画の不確実性を生んできました。30か月の安定期間は、クラウドサービスプロバイダーや連邦機関顧客にとって計画の前提を大きく変えます。
Kiteworksの連邦市場向け顧客にとって、この期間は複数年にわたる調達計画を支えます。機関のCIOは、2028年末まで認証要件が大きく変わらないことを前提にプラットフォーム選定ができます。FedRAMP認証と並行してCMMC 2.0取得を目指す防衛請負業者も、安定した要件に基づいて両方のロードマップを調整できます。
NIST 800-171とFedRAMPクラスCの要件は、CUIを扱う組織にとって大きく重複しています。機械可読なCR26カタログにより、複数のフレームワーク間でコントロールをマッピングし、単一の実装で複数要件を満たしている箇所を特定しやすくなります。これはKiteworksがプライベートデータネットワークのアプローチで目指してきた方向性です。1つのプラットフォーム、1つの強制コントロールセットで、複数フレームワークにまたがるコンプライアンスを実現します。
KiteworksによるCR26移行サポート
KiteworksはFedRAMP認証を保持しており、CR26への移行はプラットフォームの設計思想と直結しています。コンプライアンスは記述型文書ではなくプログラムで強制され、定期的なレビューではなく自動的に管理されます。Kiteworksのデータポリシーエンジンは、システムレベルでコンテンツガバナンスコントロールを強制し、「誰が」「どのデータに」「どの通信チャネルを通じて」「どの条件下で」アクセスできるかを統制します。ルールは定義され、自動適用され、監査のために記録されます。FedRAMPが機械検証可能なMUST/MUST NOT要件に移行することで、Kiteworksのコントロール強制とCR26の要件表現が直接一致します。
監査ログはすべてのファイルアクセス、転送、共有イベントを記録します。このレベルの可視性こそ、クラスCのコンプライアンス文書が求めるものであり、機関顧客が自身の認証体制を維持するために必要なものです。SFTPサーバー、MFT、その他すべての交換チャネルで、FIPS 140-3認定暗号化による統一された監査証跡が生成されます。
CR26のコメント期間は6月末で終了します。FedRAMP認証を保持している、または取得を目指している組織は、現行のSSPドキュメントを新しいクラス構造にマッピングし、要件がコントロール実装に影響する場合はGitHubで実質的なコメントを提出し、認証パッケージの書き換えは最終版公開を待って計画してください。
FedRAMP認証や最も機密性の高いデータ保護について詳しく知りたい方は、カスタムデモを今すぐご予約ください。
よくあるご質問
FedRAMP CR26(Consolidated Rules 2026)は、2026年5月4日にパブリックプレビューとして公開され、従来の記述型コンプライアンスガイダンスを、GitHub上で構造化データとして公開されるMUST/MUST NOT要件に置き換えました。最終版は2026年6月末に公開予定です。ルールは2028年12月31日まで有効で、30か月間の安定した計画期間が確保されます。最終版公開前にプレビュー言語で認証パッケージを書き直さないでください。KiteworksのFedRAMPコンプライアンスプラットフォームは、これら進化する要件に対応するよう設計されています。
クラスCは従来のModerate指定と同等で、CUIを含む大半の連邦クラウド導入をカバーします。クラスDは従来のHigh指定に対応します。クラス構造は加算型で、各クラスは前のクラスのすべてのコントロールを含みます。既存のFedRAMP Moderate認証を持つ組織は、コメント期間終了前に現行ドキュメントをクラスC構造にマッピングすることが主な作業となります。
FedRAMP Ready指定は2026年7月28日に廃止され、「Legacy FedRAMP Ready」となります。連邦調達チームが新しいフレームワークに適応するにつれ、その商業的価値は低下します。これを営業資格として利用している組織は、CR26クラスフレームワークに基づく完全認証取得に向けて今から計画すべきです。民間部門におけるFedRAMPの理解は、連邦契約以外でも完全認証がなぜ重要かを理解する助けとなります。
各要件はドキュメントの一部ではなく、バージョン管理されたGitHub上のクエリ可能なレコードとなります。コンプライアンスチームは、文章を解釈するのではなく、特定の要件に対して検証パイプラインを構築できます。SSPの記述は新しいクラス構造にマッピングし、コントロールをMUST/MUST NOT表現に合わせる必要があります。プログラムによるコントロール強制が可能なプラットフォームは、その証拠を自動生成できます。監査ログが、宣言されたコントロールが要件通り運用されていることを示す主要な証跡となります。
現行のSSPドキュメントを新しいクラス構造にマッピングし、ギャップを特定してください。特定の要件が現行コントロールアーキテクチャと競合する場合は、GitHubで実質的なコメントを提出しましょう。プレビュー言語で認証パッケージを書き直すのは避けてください。FedRAMP認証と並行してCMMCコンプライアンスを目指す組織は、新しいフレームワーク下で両方のロードマップがどのように整合するかを確認しましょう。NIST 800-171とクラスCの要件は大きく重複しています。
追加リソース
- ブログ記事 国際共同研究における臨床試験データの保護方法
- ブログ記事 CLOUD法と英国データ保護:管轄権が重要な理由
- ブログ記事 ゼロトラスト・データ保護:高度なセキュリティ実現のための導入戦略
- ブログ記事 プライバシー・バイ・デザイン:GDPRコントロールをMFTプログラムに組み込む方法
- ブログ記事 国境を越えたセキュアなファイル共有によるデータ侵害防止策