FedRAMP ふぇどらんぷ
FedRAMP米国政府クラウドセキュリティ認定NIST政府IT調達
FedRAMPについて教えて
簡単に言うとこんな感じ!
アメリカの政府機関がクラウドを使うときの「安全審査済み」マークのこと。FedRAMP認定を取れば、米国の全政府機関に「安全なクラウド」として使ってもらえるんだよ!
FedRAMPとは
FedRAMP(Federal Risk and Authorization Management Program)は、米国連邦政府がクラウドサービスを採用する際に求めるセキュリティ評価・認可・継続監視の標準化されたプログラムです。2011年に設立され、GSA(米国一般調達庁)が管理しています。
「一度評価・認定されたクラウドサービスは、全ての連邦政府機関が利用できる」という”Do Once, Use Many Times”の考え方が基本です。クラウドプロバイダーは一度FedRAMPの認定を取得すれば、個別の政府機関ごとに審査を受ける必要がなくなります。
認定レベル
FedRAMPはNIST SP 800-53に基づく3段階の影響レベルで管理されます。
| レベル | 対象データ | 管理策数(概算) |
|---|---|---|
| Low | 公開情報・一般的な政府業務 | 約125 |
| Moderate | 非機密だが保護が必要な情報(最も一般的) | 約325 |
| High | 法執行・金融・医療など高度に機密な情報 | 約421 |
認定の流れ
- 3PAO(認定サードパーティ評価機関)によるセキュリティ評価
- 政府機関(Agency)またはJABによるレビューと暫定認可(P-ATO)
- FedRAMP PMOの最終承認
- 継続監視(月次・年次の監視レポート提出)
歴史と背景
2010年代初頭、各政府機関が独自の基準でクラウドを評価していたため、同じクラウドサービスを何度も審査するという非効率が生じていました。FedRAMPはこれを解決するため2011年に設立。当初は認定取得に2〜3年かかるとも言われた長期プロセスでしたが、2023年のFedRAMP Authorization Act施行によりプロセスの効率化が進んでいます。AWS GovCloud、Microsoft Azure Government、GCP等が認定を取得しています。
FedRAMP vs ISMAP
関連用語
- ISMAP — 日本の政府向けクラウドセキュリティ評価
- SOC 2 — 民間向けのクラウドセキュリティ監査
- ISO 27001・27017 — 国際標準のセキュリティ認証