MENU
ITの専門用語を、わかりやすく。
  1. ホーム
  2. セキュリティ・認証
  3. FedRAMPとは|米連邦政府クラウド調達の標準認証

FedRAMPとは|米連邦政府クラウド調達の標準認証

セキュリティ・認証
FedRAMP アイキャッチ
FedRAMP

FedRAMP(Federal Risk and Authorization Management Program)は米国連邦政府機関がクラウドサービスを調達する際の標準セキュリティ認証制度で、2011年12月にOMBが正式に確立した。「一度認証されれば複数機関で再利用できる」を原則に、CSP(クラウドサービスプロバイダ)の認証取得負担を軽減しつつ、政府全体のクラウドセキュリティ水準を統一する役割を担う。AWS GovCloud、Microsoft 365 GCC High、Google Workspace for Governmentなどが代表例だ。

目次

この記事の目次

  1. Low/Moderate/Highの3区分
  2. JAB・Agency 2つの認証経路
  3. StateRAMPやCMMCとの違い
  4. 取得コストと継続監視
  5. まとめ

Low/Moderate/Highの3区分

Low/Moderate/Highの3区分

FedRAMPは扱う情報の機密区分に応じて3つの認証レベルを定める。Low Impactは一般公開情報レベルで125のNIST SP 800-53コントロールを満たす。Moderate Impactは政府の業務情報レベルで325のコントロールが求められ、最も一般的な認証区分である。High Impactは緊急対応・法執行・財務など機微情報レベルで421のコントロールに加えて連邦データセンター級の物理セキュリティが要求される。

コントロール数の違いは管理策の深さに反映され、Moderate以上では多要素認証・FIPS 140-2/3準拠暗号モジュール・年次ペネトレーションテスト・継続監視が必須化される。Low向けの簡易プログラム「FedRAMP Tailored for LI-SaaS」も用意され、SaaSベンダーの参入障壁を下げる工夫が施されている。

JAB・Agency 2つの認証経路

JAB・Agency 2つの認証経路

FedRAMP認証取得には2つのルートがある。一つは「JAB(Joint Authorization Board)P-ATO」で、DoD・DHS・GSAの3機関が合同で評価し、政府全体で再利用可能な認証を付与する経路だ。年間採択数が限られ、競争率は非常に高い。AWS・Azure・GCPなど大手は主にこのルートで認証取得している。

もう一つは「Agency ATO」で、特定の連邦機関がスポンサーとなって認証を発行する。他機関は事後にこの認証を「再利用」する形で採用でき、ベンダーは関心ある機関に個別アプローチして取得する。JABよりは取得しやすいが、初期スポンサー機関を見つけることが最大のハードルとなる。3PAO(Third Party Assessment Organization)による独立評価が両ルートで必須である。

StateRAMPやCMMCとの違い

StateRAMPやCMMCとの違い

FedRAMPは連邦政府向けだが、州政府・地方政府向けには「StateRAMP」という派生認証が2020年に発足した。FedRAMPの要件をベースに簡易化したもので、地方自治体が個別に評価する負担を軽減する。日本の「ISMAP」(政府情報システムのためのセキュリティ評価制度)はFedRAMPを参考に2020年に開始された日本版FedRAMPと位置付けられる。

CMMCとの違いは適用領域にある。FedRAMPは「政府が使うクラウドサービス」を認証する制度で、CSPベンダー側が主役だ。CMMCは「DoDと契約する企業全体」を認証する制度で、契約企業側が主役となる。両者は重複領域もあり、CMMC Level 2取得済み企業がFedRAMPModerate認証クラウドを利用するという二段構え運用が典型例である。

取得コストと継続監視

取得コストと継続監視

FedRAMP認証取得にはModerateレベルで初期費用約30万〜50万ドル、年間維持費約20万〜40万ドル程度が一般的とされる。3PAO評価費、SSP・SAR等のドキュメント整備、FIPS準拠インフラ構築コストが大半を占め、認証取得期間は12〜18ヶ月に及ぶ。

認証後は「Continuous Monitoring(ConMon)」と呼ばれる継続監視義務が課され、月次の脆弱性スキャン結果・年次ペネトレーションテスト・重大インシデント報告をPMOに提出し続ける必要がある。これを怠ると認証取り消しのリスクがある。認証は「取得して終わり」ではなく「維持し続ける運用」が本体であり、専任のFedRAMPコンプライアンスチームを抱えるベンダーが多い理由となっている。

まとめ

FedRAMPは連邦政府クラウド調達の標準化により、CSPの認証取得負担を軽減しつつ政府全体のセキュリティを底上げする画期的制度だ。Low/Moderate/Highの3区分、JAB/Agencyの2経路、継続監視の3点を理解すれば全体像が見える。ISMAP・StateRAMP・CMMCと連動する規制エコシステムの中核として、今後も影響力を増す。

※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。

Post Views: 1
セキュリティ・認証
F IT用語集 基礎知識
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

編集長のアバター 編集長

関連記事

コメント

コメントする

目次