論文の概要: Automating the RMF: Lessons from the FedRAMP 20x Pilot

• arxiv url: http://arxiv.org/abs/2510.09613v1
• Date: Wed, 10 Sep 2025 13:51:25 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-07 19:06:32.056589
• Title: Automating the RMF: Lessons from the FedRAMP 20x Pilot
• Title（参考訳）: RMFの自動化 - FedRAMP 20x Pilotからの教訓
• Authors: Isaac Henry Teuscher,
• Abstract要約: 米国連邦リスク・認可管理プログラム(FedRAMP)は、長い間、クラウドシステムを評価するための広範囲の制御と静的ドキュメントに依存してきた。 2025年のパイロットプログラムであるFedRAMP 20xは、自動化された機械読み取り可能な証拠を使用して、NISTリスク管理フレームワーク(RMF)を再想像する。 ケーススタディでは、クラウドネイティブで自動化優先のアプローチでRMFを実装するためのライブテストベッドとしてFedRAMP 20xが紹介されている。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The U.S. Federal Risk and Authorization Management Program (FedRAMP) has long relied on extensive sets of controls and static documentation to assess cloud systems. However, this manual, point-in-time approach has struggled to keep pace with cloud-native development. FedRAMP 20x, a 2025 pilot program, reimagines the NIST Risk Management Framework (RMF): replacing traditional NIST 800-53 controls with Key Security Indicators (KSIs), using automated, machine-readable evidence, and emphasizing continuous reporting and authorization. This case study presents a practitioner-led field report from an industry participant who led multiple FedRAMP 20x pilot submissions and engaged directly with the FedRAMP PMO, 3PAOs, and community working groups. It explores how KSIs, continuous evidence pipelines, and DevSecOps integration can streamline authorization and improve cyber risk management. The study shows FedRAMP 20x as a live testbed for implementing the RMF in a cloud-native, automation-first approach and shares actionable recommendations for risk professionals seeking to modernize compliance and support real-time, risk-informed decision-making.
• Abstract（参考訳）: 米国連邦リスク・認可管理プログラム(FedRAMP)は、長い間、クラウドシステムを評価するための広範囲の制御と静的ドキュメントに依存してきた。 しかしながら、この手動でポイントインタイムのアプローチは、クラウドネイティブな開発にペースを維持するのに苦労しています。 2025年のパイロットプログラムであるFedRAMP 20xは、従来のNIST 800-53コントロールをキーセキュリティ指標(KSI)に置き換え、自動化され機械可読なエビデンスを使用し、継続的な報告と承認を強調する。 本症例では,複数のFedRAMP 20xパイロット申請を主導し,FedRAMP PMO,3PAO,およびコミュニティワーキンググループに直接関与する業界参加者による実践者主導のフィールドレポートを報告する。 KSI、継続的エビデンスパイプライン、DevSecOpsの統合によって、認証の合理化とサイバーリスク管理の改善が図られている。 調査によると、FedRAMP 20xは、RMFをクラウドネイティブで自動化優先のアプローチで実装するためのライブテストベッドとして、コンプライアンスの近代化と、リアルタイムでリスクインフォームドな意思決定のサポートを目指すリスク専門家に対して、実行可能なレコメンデーションを共有している。

関連論文リスト

• Evaluating AI Companies' Frontier Safety Frameworks: Methodology and Results [0.0]
  12のAI企業が、先進的なAIシステムによる破滅的なリスクを管理するためのアプローチを概説する、フロンティア安全フレームワークを公開した。 我々は,安全クリティカル産業から確立されたリスク管理原則に基づく65基準評価手法を開発した。 リスク識別、リスク分析と評価、リスク処理、リスクガバナンスという4つの側面の12のフレームワークを評価します。
  論文  参考訳（メタデータ） (2025-12-01T00:55:18Z)
• International AI Safety Report 2025: Second Key Update: Technical Safeguards and Risk Management [115.92752850425272]
  2025年の国際AI安全レポートの第2の更新は、この1年で汎用AIリスク管理の新しい展開を評価している。 研究者、公共機関、AI開発者が汎用AIのリスク管理にどのようにアプローチしているかを調べる。
  論文  参考訳（メタデータ） (2025-11-25T03:12:56Z)
• AI Bill of Materials and Beyond: Systematizing Security Assurance through the AI Risk Scanning (AIRS) Framework [31.261980405052938]
  人工知能(AI)システムの保証は、ソフトウェアサプライチェーンセキュリティ、敵機械学習、ガバナンスドキュメントに分散している。 本稿では,AI保証の運用を目的とした脅威モデルに基づくエビデンス発生フレームワークであるAI Risk Scanning(AIRS)フレームワークを紹介する。
  論文  参考訳（メタデータ） (2025-11-16T16:10:38Z)
• Workday's Approach to Secure and Compliant Cloud ERP Systems [0.0]
  グローバル標準へのワークデイの準拠は、金融、医療、政府のデータを最善に保護する能力を示している。 比較レビューでは、リスク管理の強化、運用の柔軟性、セキュリティ侵害の軽減が示されている。 また、AI、機械学習、ブロックチェーン技術の統合など、新たなトレンドについても検討している。
  論文  参考訳（メタデータ） (2025-10-31T12:25:06Z)
• A Proactive Insider Threat Management Framework Using Explainable Machine Learning [0.14323566945483496]
  本研究では,Insider Threat Explainable Machine Learning(IT-XML)フレームワークを提案する。 インサイダー脅威パターンに関する従業員の知識を評価するために,オンラインアンケートを用いて定量的アプローチを採用する。 このフレームワークは、すべての組織を97-98%の信頼性でセキュリティ成熟度レベルに分類し、91.7%の分類精度を達成した。
  論文  参考訳（メタデータ） (2025-10-22T14:08:38Z)
• Security Challenges in AI Agent Deployment: Insights from a Large Scale Public Competition [101.86739402748995]
  44の現実的なデプロイメントシナリオを対象とした,22のフロンティアAIエージェントを対象にしています。 Agent Red Teamingベンチマークを構築し、19の最先端モデルで評価します。 私たちの発見は、今日のAIエージェントの重要かつ永続的な脆弱性を浮き彫りにしたものです。
  論文  参考訳（メタデータ） (2025-07-28T05:13:04Z)
• AILuminate: Introducing v1.0 of the AI Risk and Reliability Benchmark from MLCommons [62.374792825813394]
  本稿ではAI製品リスクと信頼性を評価するための業界標準ベンチマークとして,AIluminate v1.0を紹介する。 このベンチマークは、危険、違法、または望ましくない行動を12の危険カテゴリーで引き起こすように設計されたプロンプトに対するAIシステムの抵抗を評価する。
  論文  参考訳（メタデータ） (2025-02-19T05:58:52Z)
• CRMArena: Understanding the Capacity of LLM Agents to Perform Professional CRM Tasks in Realistic Environments [90.29937153770835]
  CRMArenaは、プロフェッショナルな作業環境に根ざした現実的なタスクにおいて、AIエージェントを評価するために設計されたベンチマークである。 現状のLDMエージェントはReActプロンプトのタスクの40%以下で成功し,機能呼び出し能力でも55%以下であった。 この結果から,実環境に展開する関数呼び出しやルールフォローにおいて,エージェント機能の向上の必要性が示唆された。
  論文  参考訳（メタデータ） (2024-11-04T17:30:51Z)
• The Road to Compliance: Executive Federal Agencies and the NIST Risk Management Framework [0.0]
  国立標準技術研究所(NIST)リスクマネジメントフレームワーク(RMF)の概念と進化について調査する。 RMF実装の成功と課題に関する調査結果を提示し、自動化と継続的監視がサイバーセキュリティの姿勢に与える影響を強調した。 報告書は、実装上の課題を克服するための戦略的勧告と、RMFの研究・実践を強化するための今後の方向性を示唆している。
  論文  参考訳（メタデータ） (2024-05-11T21:06:53Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。