GRC(ガバナンス、リスク、コンプライアンス)分野のリーディングカンパニーであるDrata(ドラータ)は、FedRAMP 20xロー認証を取得し、重要なマイルストーンを達成した。この成果は、明確で再現性が高く、自動化に適したエビデンスを重視した、FedRAMP の最新版であるFedRAMP 20xフェーズ1パイロットの一環だ。この認証は、Drataの堅牢なセキュリティープログラムと、厳格な連邦フレームワークへの準拠へのコミットメントを証明するものだ。
FedRAMP 20xは、FedRAMP認証取得における従来のアプローチからの転換だ。従来のアプローチは、時間がかかり、膨大な文書作成を必要とするコンプライアンス対策と見なされることが多かった。FedRAMP 20xでは、定義された指標に基づく、継続的かつエビデンス主導のセキュリティー対策に重点を置いている。Keyセキュリティー指標(KSI)と機械可読なエビデンスは、従来のアプローチの大部分を置き換えることを目的としている。継続的な検証とリアルタイムの可視性へのこの転換は、これらの基準を満たすための合理的な努力の範囲内で、継続的なアシュアランスを向上させることを目的としている。
FedRAMP 20x認証プロセスは段階的に展開される。低影響度パイロットに焦点を当てた第1フェーズは、2025年9月末に終了した。中影響パイロットに焦点を当てた第2フェーズは現在進行中だ。今後のフェーズでは、導入範囲が拡大し、最終的には既存の認証プロセスからの移行が見込まれる。この段階的なアプローチは、クラウドセキュリティー評価の迅速化、透明性の向上、自動化、そして継続的な検証を目的としている。
DrataがFedRAMP 20xロー認証を取得したことは、ユーザーにとって、同社のセキュリティープログラムへの信頼度向上を意味する。また、ベンダーセキュリティーレビューの円滑化と、規制の厳しい環境や公共部門の環境で活動するチームにとっての基盤強化も実現する。FedRAMP 20xモデルは、セキュリティー成果、自動化、そして継続的にテスト可能なエビデンスを重視し、妥当な期間内に認可取得に向けて同等の保証レベルを達成するという明確な目標を掲げている。これは、セキュリティー保証の構築と実証方法を近代化する上で大きな前進であり、政府機関やバイヤーにとって、よりタイムリーで透明性が高く、実用的なリスク可視性を提供する。
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
