Red Hat OpenShift Service on AWS が FedRAMP の「Ready」指定を取得

Red Hat OpenShift Service on AWS (ROSA) を含む Red Hat の FedRAMP オファリングが、FedRAMP の Joint Authorization Board (JAB) から「Ready」の指定を受けたことをお知らせいたします。これにより、Red Hat が JAB 認証の取得に取り組んでいることが FedRAMP Marketplace に掲載されることになります。2 つの認証取得手続き (既存の Agency Authority to Operate (ATO) の手続きと JAB を通じた手続き) における進捗と成果もあわせて掲示されます。2023 年 8 月、Red Hat は、JAB で Readiness Assessment Report が受理された後、JAB を通じた認証を優先的に受ける対象となりましたが、今回の指定は、これに続く大きなマイルストーン達成となります。

取得手続きと登録先が 2 つあるのは、FedRAMP の認定プロセスで取得できる認証に 2 つの種類があるからです。Red Hat は、米国海洋大気庁 (NOAA) を通じて政府機関の認証をすでに受けていますが、JAB との手続きによって Provisional Authorization to Operate (P-ATO) を取得することで、認証の強化を目指しています。JAB の手続きが進行中であっても、Red Hat が NOAA から取得した ATO は有効なままであり、ROSA や承認済み Red Hat Insights for RHEL サービスを含む Red Hat 製品の機能は、引き続き安心して利用およびデプロイしていただけます。

JAB のプロセスと将来の見通し

JAB の認証プロセスには、潜在的な問題を迅速に特定し修正することを目指す「フェイルファスト」の原則に基づいて設計された複数の段階があります。前述したとおり、FedRAMP の認証取得には、特定機関との間、あるいは JAB との間で行う 2 つの方法があります。この 2 つの主な違いの 1 つとして、JAB では顧客となる可能性のある組織 (政府機関など) に代わって残存リスクを受け入れることはしないことが挙げられます。そのため、JAB では「暫定的な」ATO (P-ATO) を提供しています。つまり、Red Hat などのクラウド・サービス・プロバイダー (CSP) は、政府機関の手続きで要求される基準よりも高い基準に準拠しなければなりません。こうしたプロセスを経ていれば、政府機関での審査で、最も厳格な基準を満たしていることを事前に示すことができます。

Red Hat は現在、JAB を通じた FedRAMP 認証取得のセキュリティ評価に向けて、Third-Party Assessment Official (3PAO) とともにテストを行っており、これをクリアすれば、次の目標である Provisional Authority to Operate (P-ATO) の取得に近づくことができます。

JAB のセキュリティ評価が完了すると、System Security Plan (SSP)、認証境界図、Plan of Actions and Milestones (POA&M)、さまざまなプロセスおよび手順といった成果物がレビューされ、Security Assessment Report (SAR) が JAB に発行されます。ROSA が政府の要件を満たしていると判断した場合、JAB は、P-ATO を Red Hat に発行します。

JAB の認証を受ければ、継続的な監視体制を最適化して社内業務を効率化するとともに、精査された最先端のマネージド・プラットフォームを提供できます。そうした手続きの間も、Red Hat が政府機関から FedRAMP 認証を取得済みの製品は引き続きご利用いただけます。