Fedramp20xmcp：多言語とIaC対応のFedRAMPコンプライアンスMCPプロトコル統合ツール

Fedramp20xmcp

スコア : 2.5ポイント

ダウンロード数 : 5.4K

更新時間 : 2025-12-29

FedRAMP 20x MCPサーバーとは？

FedRAMP 20x MCPサーバーは、FedRAMP 20xのセキュリティ標準に特化して設計されたツールサーバーです。Model Context Protocol (MCP)を通じて、FedRAMP 20xのすべてのセキュリティ要件と制御項目にアクセスでき、特にMicrosoft Azureクラウドサービスの実施に関するガイダンスを提供します。サーバーは公式のFedRAMPドキュメントライブラリから最新のデータを自動的に取得し、FedRAMPのコンプライアンスを簡単に照会、分析、検証できます。

FedRAMP 20x MCPサーバーの使い方は？

VS Code + GitHub Copilot、Claude Desktop、またはMCP InspectorなどのMCPプロトコルをサポートするクライアントを使用して、このサーバーを利用できます。インストール後、特定のFedRAMP制御項目を照会したり、関連する要件を検索したり、コードのコンプライアンスを分析したり、実施計画文書を生成したりできます。サーバーは48個のツールと18個の事前設定されたプロンプトを提供し、FedRAMPのコンプライアンスのあらゆる側面をカバーします。

適用シナリオ

このサーバーは、以下のユーザーに特に適しています。1) 米国政府機関にクラウドサービスを提供するベンダー；2) FedRAMPのコンプライアンス要件を満たす必要があるAzureクラウドプロジェクトチーム；3) セキュリティコンプライアンスエンジニアと監査担当者；4) FedRAMP認証を必要とするアプリケーションを開発するチーム；5) FedRAMP要件に適合したシステムアーキテクチャを設計するクラウドアーキテクト。

主要機能

完全なFedRAMP 20xデータカバレッジ

271個の要件（199個のFRR + 72個のKSI）と50個の定義への完全なアクセスを提供し、10個のFRRファミリーと11個のKSIファミリーのすべてのセキュリティ制御項目をカバーします。

自動化された証拠収集ガイダンス

すべての65個のアクティブなKSIに対して、Azureサービスの構成、KQLクエリ、API呼び出し、およびストレージ要件を含む完全な自動化された証拠収集ガイダンスを提供します。

コードのコンプライアンス分析

AST（抽象構文木）技術を使用して、Python、C#、Java、TypeScript、Bicep、Terraformなどのコードを分析し、FedRAMP要件に準拠しているかどうかを確認します。

Azure優先ガイダンス

すべての実施例、アーキテクチャパターン、およびベンダー推奨事項は、Microsoft Azureサービス（Azure Government、Microsoft Entra ID、Azure Key Vaultなど）を優先的に考慮しています。

パターン化された分析アーキテクチャ

統一されたYAMLパターンエンジンを使用し、381個のパターンが23個の要件ファミリーをカバーし、一貫したかつ保守可能なコンプライアンスチェックを提供します。

文書生成とエクスポート

Word形式の仕様文書、Excelレポート、およびCSVデータのエクスポートを生成し、チームがコンプライアンス文書とレポートを作成するのを支援します。

実施計画ツール

戦略的なインタビュー質問を生成し、プロダクトマネージャーとエンジニアがFedRAMP 20xの実施に関する考慮事項と成功基準を考えるのを支援します。

利点

すべての20x要件をカバーするワンストップのFedRAMPコンプライアンスソリューション

開発ツール（VS Code、GitHub Copilot、Claudeなど）との深い統合

具体的なAzure実施ガイダンスとコード例の提供

自動化された証拠収集により、手動の監査作業が大幅に削減される

公式のFedRAMPドキュメントライブラリからの最新データのリアルタイム取得

複数のプログラミング言語とインフラストラクチャコードの分析のサポート

制限

主にAzureクラウド環境を対象としており、他のクラウドプロバイダーでは追加の適合が必要です。

提案を理解して実施するには一定の技術的背景が必要です。

一部の高度な機能には構成と統合作業が必要です。

非技術的なユーザーには、追加のトレーニングとサポートが必要になる場合があります。

使い方

インストールとセットアップ

まず、Python 3.10以上をインストールし、次にpipを使用してfedramp - 20x - mcpパッケージをインストールします。仮想環境を使用してインストールすることをお勧めします。

VS CodeとGitHub Copilotの設定

VS Codeプロジェクト内に.vscode/mcp.jsonファイルを作成し、サーバーの構成を追加します。PythonがPATHに含まれていない場合は、仮想環境のPythonパスを指定する必要があります。

権限の付与とテスト

VS Codeを再読み込みします。初めて使用するとき、VS Codeは権限の付与を求めるメッセージを表示します。権限を付与した後、GitHub Copilot Chatで@workspaceを使用してサーバーの機能を呼び出すことができます。

ツールとプロンプトの使用

サーバーは48個のツールと18個の事前設定されたプロンプトを提供します。Copilot Chatを通じて直接ツールを呼び出したり、事前設定されたプロンプトを使用して特定のワークフローを開始したりできます。

使用例

ケース1：脆弱性管理のコンプライアンスチェック

セキュリティエンジニアは、CI/CDパイプラインがFedRAMP VDR（脆弱性検出と対応）要件に準拠していることを確認する必要があります。コード分析ツールを使用してパイプラインの構成をチェックし、欠けているセキュリティスキャンステップを特定します。

ケース2：IDとアクセス管理の実施

開発チームは、KSI - IAM - 01（フィッシング耐性多要素認証）を実施する必要があります。証拠自動化ガイダンスを使用して、Azure Entra IDの構成手順と証拠収集クエリを取得します。

ケース3：コンプライアンス文書の生成

コンプライアンスチームは、KSI - AFR - 01の製品仕様文書を作成し、エンジニアリングの実施をガイドする必要があります。文書生成ツールを使用して、すべての必要な部分を含むWord文書を作成します。

ケース4：アーキテクチャのコンプライアンス検証

クラウドアーキテクトは新しいAzureアーキテクチャを設計し、FedRAMP 20x要件に準拠していることを検証する必要があります。アーキテクチャ検証ツールを使用してアーキテクチャの説明を分析します。

よくある質問

FedRAMP 20xは以前のバージョンとどのように異なりますか？

このサーバーを使用するにはAzure環境が必要ですか？

このサーバーは正式なFedRAMP評価を代替できますか？

データはどのように最新に保たれますか？

どのプログラミング言語のコード分析をサポートしていますか？

セキュリティ脆弱性を報告するにはどうすればいいですか？

🚀 FedRAMP 20x MCP サーバー

このサーバーは、FedRAMP 20xのセキュリティ要件と制御にアクセスできるMCP（Model Context Protocol）サーバーです。Azureを第一に考慮したガイダンスを備えています。

🚀 クイックスタート

このサーバーは、公式のFedRAMPドキュメントリポジトリからFedRAMP 20xのデータを読み込み、制御、ファミリー、またはキーワードで要件を照会するためのツールを提供します。

✨ 主な機能

🎯 自動エビデンス収集 (NEW): すべての65のアクティブなKSIに対するAzureネイティブサービスを用いた完全な自動化ガイダンス、すぐに使用できるクエリ、およびアーティファクト仕様を提供します。
制御による照会: 特定のFedRAMP要件に関する詳細情報を取得します。
ファミリーによる照会: ファミリー内のすべての要件をリストします。
キーワード検索: すべての要件をキーワードで検索します。
FedRAMP定義: 公式のFedRAMP用語定義を検索します。
重要セキュリティ指標: 実装状況を含むFedRAMP重要セキュリティ指標（KSI）にアクセスし、照会します。
ドキュメント検索: 公式のFedRAMPドキュメントのマークダウンファイルを検索し、取得します。
動的コンテンツ: すべてのマークダウンドキュメントファイルを自動的に検出し、読み込みます。
実装計画: プロダクトマネージャーとエンジニアがFedRAMP 20xの実装に関する考慮事項を考えるのに役立つ戦略的な面接質問を生成します。
ASTベースのコード分析: tree - sitterを使用した高度な抽象構文木解析により、Python、C#、Java、TypeScript/JavaScript、Bicep、およびTerraformを対象とした正確でコンテキストを考慮したセキュリティ分析を行います。
セマンティック分析: シンボル解決、制御フロー分析、および手続き間分析機能による深いコード理解を提供します。
🚀 パターンベースのアーキテクチャ: 23の要件ファミリーにまたがる381のYAMLパターンを持つ統一された分析エンジンで、すべてのKSIとFRRの包括的なコンプライアンスチェックを提供します。
パターンエンジン: 14の言語に対する宣言的なYAML駆動型の検出を行い、ASTを中心とした分析とインテリジェントな検出分類を提供します。

📦 インストール

前提条件

Python 3.10以上
pip（Pythonに含まれています）
PythonがシステムのPATHに含まれている必要があります。

セットアップ

# リポジトリをクローン
git clone https://github.com/KevinRabun/FedRAMP20xMCP.git
cd FedRAMP20xMCP

# 仮想環境を作成してインストール
python -m venv .venv
source .venv/bin/activate  # Windowsの場合は: .venv\Scripts\activate
pip install -e .

# uv（代替パッケージマネージャー）を使用する場合:
uv pip install -e .

依存関係:

mcp>=1.2.0 - Model Context Protocol SDK
httpx>=0.27.0 - FedRAMPデータを取得するためのHTTPクライアント
openpyxl>=3.1.0 - エクスポート機能のためのExcelファイル生成
python - docx>=1.1.0 - KSI仕様のためのWordドキュメント生成
tree - sitter>=0.21.0 - コード分析のためのAST解析ライブラリ
tree - sitter - python>=0.21.0 - tree - sitterのPython言語バインディング
tree - sitter - c - sharp>=0.21.0 - tree - sitterのC#言語バインディング
tree - sitter - java>=0.21.0 - tree - sitterのJava言語バインディング
tree - sitter - javascript>=0.21.0 - JavaScript/TypeScript言語バインディング

トラブルシューティング:

問題が発生した場合は、[詳細なセットアップガイド](docs/ADVANCED - SETUP.md#troubleshooting)を参照してください。

💻 使用例

VS CodeとGitHub Copilotを使用する場合

VS Code MCP拡張機能をインストール（まだインストールされていない場合）
MCPサーバーを構成 - 以下のスコープのいずれかを選択します。

オプションA: ワークスペースレベル（共有に推奨）

プロジェクトの.vscode/mcp.jsonに以下を追加します。
```
{
  "servers": {
    "fedramp - 20x - mcp": {
      "type": "stdio",
      "command": "python",
      "args": ["-m", "fedramp_20x_mcp"]
    }
  }
}
```
PythonがPATHに含まれていない場合、コマンドを仮想環境のPythonを使用するように更新します。
```
{
  "servers": {
    "fedramp - 20x - mcp": {
      "type": "stdio",
      "command": "${workspaceFolder}/.venv/Scripts/python.exe",  // Windows
      // "command": "${workspaceFolder}/.venv/bin/python",       // macOS/Linux
      "args": ["-m", "fedramp_20x_mcp"]
    }
  }
}
```
オプションB: ユーザーレベル（すべてのプロジェクトでグローバル）

VS Codeユーザー設定（settings.json）に以下を追加します。
```
{
  "github.copilot.chat.mcp.servers": {
    "fedramp - 20x - mcp": {
      "type": "stdio",
      "command": "python",
      "args": ["-m", "fedramp_20x_mcp"]
    }
  }
}
```
セキュリティに関する注意: 設定で"alwaysAllow"を使用しないでください。初回使用時にVS Codeがパーミッションの付与を求めるプロンプトが表示されますが、これはセキュリティ上のベストプラクティスです。
オプション: VS Code設定を構成 .vscode/settings.json.exampleを.vscode/settings.jsonにコピーします。
VS Codeを再読み込みしてMCPサーバーを有効にします。
初回使用時にVS Codeからパーミッションを付与します。
GitHub Copilot Chatで使用
- Copilot Chatを開きます。
- FedRAMP 20x要件に関する質問をします。
- @workspaceを使用して特定の制御またはファミリーを照会します。
- すべての48のツールと15の包括的なプロンプトにアクセスします。

Claude Desktopを使用する場合

このサーバーをClaude Desktopの設定（macOSでは~/Library/Application Support/Claude/claude_desktop_config.json、Windowsでは%APPDATA%\Claude\claude_desktop_config.json）に追加します。

{
  "mcpServers": {
    "fedramp - 20x": {
      "command": "uv",
      "args": [
        "--directory",
        "/absolute/path/to/FedRAMP20xMCP",
        "run",
        "fedramp - 20x - mcp"
      ]
    }
  }
}

注意: /absolute/path/to/FedRAMP20xMCPを実際のインストールパスに置き換えてください。

MCPインスペクターを使用する場合

MCPインスペクターを使用してサーバーをテストします。

npx @modelcontextprotocol/inspector python -m fedramp_20x_mcp

⚠️ Copilot実行ポリシー

このリポジトリは、すべてのAI支援コーディングに対して厳格な指示を使用しています。

詳細は[Copilot指示](./.github/copilot - instructions.md)を参照してください。

🔧 技術詳細

パターンベースの分析アーキテクチャ

このサーバーは、すべてのFedRAMP 20xコンプライアンス分析に対して統一されたパターンベースのアーキテクチャを使用しています。

アーキテクチャの概要:

23の要件ファミリーにまたがる381のYAMLパターン
単一の分析エンジン (GenericPatternAnalyzer) が271の従来のアナライザーに代わります。
14の言語をサポート: Python、C#、Java、TypeScript、JavaScript、Bicep、Terraform、GitHub Actions、Azure Pipelines、GitLab CI、YAML、JSON、Dockerfile、GitHub
tree - sitterを使用したASTを中心とした検出で正確性を確保し、必要に応じて正規表現をフォールバックとして使用します。
宣言的なパターンで、保守と拡張が容易です。

ファミリー別のパターンカバレッジ:

アプリケーションファミリー: ADS、AFR、CCM、CED、CMT、CNA、IAM、INR、MLA、PIY、RPL、RSC、SCN、SVC、TPR、UCM、VDR (17ファミリー)
インフラストラクチャファミリー: COMMON、FSI、ICP、KSI、MAS、PVA (6ファミリー)
完全なKSIとFRRのマッピング: すべての72のKSIと199のFRRがパターン定義を通じてカバーされています。

動作原理:

パターンの読み込み: data/patterns/ディレクトリからYAMLパターンを読み込みます。
分析の実行: tree - sitter AST解析とパターンマッチングを使用してコードを分析します。
検出結果の生成: パターンによって重大度、説明、および対策を含む検出結果が生成されます。
結果の集約: 検出結果は要件ファミリーごとにグループ化され、重複排除が行われます。

利点:

✅ 一貫性: すべての言語で同じ検出ロジックを使用します。
✅ 保守性: PythonコードではなくYAMLでパターンを更新します。
✅ パフォーマンス: パターンのコンパイルとキャッシュにより、分析速度が最適化されます。
✅ 拡張性: コードを変更せずに新しいパターンを追加できます。
✅ 正確性: ASTベースの検出により、誤検出が減少します。

重要な解説: OSCAL形式 FedRAMP 20xでは、認可データ共有に対して機械可読形式（JSON、XML、または構造化データ）が必要です。OSCALはFedRAMP 20x要件には言及されていません - これはNIST標準であり、1つの潜在的な実装アプローチとして使用できます。実際の要件は単に「機械可読」であり、実装ニーズに基づいてカスタムJSON/XMLまたはOSCALを使用することができます。