公的機関向け 
ますます高度化するサイバー攻撃の脅威に連邦政府機関が
FedRAMP (Federal Risk and Authorization Management Program、連邦リスク承認管理プログラム) は、連邦政府機関向けのクラウドコンピューティングサービスの評価、認定プロセス、継続的な監視を標準化し、合理化することを目的とした米国政府のプログラムです。 クラウドサービスプロバイダー (CSP) が提供する製品が連邦政府の厳しいセキュリティとプライバシーのニーズを満たすことを保証するために、一貫したセキュリティ要件を規定しています。
「FedRAMP認定」と「FedRAMP相当」の違いを説明すると、FedRAMP認定を受けた製品とは、連邦政府による使用が承認された安全で適合性のあるクラウドソリューションとして正式に認められ、公式のFedRAMPマーケットプレイスに掲載されている製品です。 それに対し、FedRAMP相当の製品とは、セキュリティへの取り組みと意図が同様のレベルであることを自己証明しているものの、公式のFedRAMPマーケットプレイスには掲載されていません。
「FedRAMP相当」が意味するところ
「FedRAMP相当を実現している」と主張するCSPは、自社製品がFedRAMPに匹敵するセキュリティ標準を満たしていると述べていても、正式には厳格なFedRAMP認可プロセスを完了していません。 この用語は、FedRAMPのガイドラインに基づいてコントロールを実施している米国外の組織、州政府、または民間団体が使用しているかもしれません。 CSPがFedRAMPコンプライアンスの準備状況や完全なFedRAMPの認可を取得する意向を示すために「FedRAMP相当」と掲げることはよくありますが、常にその目的とは限りません。
「FedRAMP相当」の主な特徴として、次のことが挙げられます。
- CSPは、自社製品がFedRAMPセキュリティ制御に準拠しているか、それをベンチマークとして使用していることを自己証明している。
- CSPの製品は、連邦政府機関または共同承認委員会 (JAB) によって正式に評価されているか、運用認可 (ATO) が付与されたりしている場合がある。
- CSPの製品は公式のFedRAMPマーケットプレイスに掲載されていない。
「FedRAMP認定」が意味するところ
FedRAMP認定製品を販売するCSPは、第三者評価機関 (3PAO) が実施する厳格なセキュリティ評価を含むFedRAMP認可プロセスを完了しており、その製品は連邦政府機関またはJABによってATOが付与されています。
「FedRAMP認可」の主な特徴は次のとおりです。
- CSPの製品は、3PAOによる非常に詳細なセキュリティレビューとテストプロセスを経ており、毎年再認可監査を受けることが必須である。
- CSPの製品は、連邦機関またはJABによってATOが付与されている。
- CSPの製品は、公式のFedRAMPマーケットプレイスに掲載されている。
FedRAMP相当とFedRAMP認定の主な違い
次の表に、「FedRAMP相当」と「FedRAMP認定」の主な違いをまとめています。
|
|
FedRAMP Authorized | FedRAMP Equivalent |
|---|---|---|
| Definition | A cloud product that has undergone the full FedRAMP security assessment process and received an official Authority to Operate (ATO) or Provisional Authority to Operate (P-ATO). | A cloud product that claims to be aligned with FedRAMP security controls but has not completed the formal FedRAMP authorization process. |
| Assessment Process | Requires a formal review by a FedRAMP-approved 3PAO and approval from a federal agency or the JAB. | Often involves internal assessments or informal audits aligned with FedRAMP standards, which may or may not have been done with oversight by a 3PAO or federal entity. |
| Security Standards | Fully compliant with FedRAMP’s standardized controls, derived from NIST SP 800-53. | Aligns with FedRAMP security controls but may not fully meet them. |
| Government Recognition | Listed on the FedRAMP Marketplace and officially recognized by federal agencies. | Not listed on the FedRAMP Marketplace and may not be recognized by federal agencies. |
| Verification | Includes comprehensive documentation, audits and ongoing monitoring validated by the U.S. government. | May or may not include partial documentation and assessments. |
| Continuous Monitoring | Requires continuous monitoring, with regular reporting and updates to maintain authorization. | Continuous monitoring may be implemented but not necessarily aligned with FedRAMP’s formal requirements. |
| Use Cases | Can be used by U.S. federal agencies procuring cloud services. Suitable for systems processing sensitive but unclassified (Moderate) or highly sensitive (High) data. | May be used for state, local or private sector applications where full FedRAMP authorization is not mandatory. May not be sufficient for direct federal use and cannot be used for highly sensitive (High) data. |
| Reusability Across Agencies | Can be reused across multiple federal agencies without having to examine the CSP’s entire Body of Evidence (BoE). This significantly reduces the time and cost of evaluating and onboarding the product. | No reusability. Each agency or organization may need to conduct its own security assessment, including a review of the CSP’s entire BoE, including their System Security Plan (SSP), Security Assessment Plan (SAP) and all attachments. This duplicates effort and significantly increases the time and cost of evaluating and onboarding the product. |
FedRAMP認定プロバイダーではなく「FedRAMP相当」プロバイダーと連携するリスク
FedRAMP認定CSPではなく、FedRAMP相当のCSPと連携することを選択した場合、プロバイダーのセキュリティ対策に正式な検証と政府の承認がないため、ある程度のリスクが伴います。 「FedRAMP相当」のCSPと連携する場合に追加されるリスクには、セキュリティギャップの可能性や、セキュリティ制御の実装の一貫性の欠如などがあります。 FedRAMP認定には、非常に高いセキュリティ基準を確保するための325以上の制御と継続的な監視が含まれます。 「相当」に該当するプロバイダーは、実装している制御が少なかったり、堅牢な監視プロセスが欠如していたりする可能性があります。 さらに、FedRAMP相当に関する標準化された認定プロセスがないため、コンプライアンスレベルはCSP間で大きく異なる可能性もあります。
こういったリスクがあるため、FedRAMP相当の製品は、FedRAMP認定製品のコストをかけずに高度なセキュリティ標準に準拠する必要がある民間企業や州政府、地方自治体などの非連邦政府組織には最適でしょう。 たとえば、民間医療機関は、HIPAA準拠のデータセキュリティを確保するために、FedRAMP相当のシステムを使用することがあります。
結論
FedRAMP認定プロバイダーではなく、FedRAMP相当のプロバイダーと連携することで、組織はセキュリティギャップ、ノンコンプライアンス、サイバー攻撃に対する脆弱性の増加などのリスクにさらされます。 FedRAMP相当のCSPがセキュリティ標準への準拠に誠実であると示すことはできますが、これらのリスクを完全に軽減するために必要な正式な検証と継続的な監視を受けるのは、FedRAMP認定のCSPのみです。
さらに、FedRAMP相当のプロバイダーを評価するのは、プロバイダーのBoE全体を審査する必要があります。これには通常、数百、場合によっては数千ページに及ぶ文書が含まれるため、時間と費用のかかるプロセスです。 逆に、FedRAMP認定プロバイダーを選択するということは、3PAOがすでにプロバイダーのBoEを調査し、制御をテストし、プロバイダーの製品がFedRAMP標準を満たしていることが確認されていることを意味します。 政府機関は、公式のFedRAMPマーケットプレイスでCSPのリストをチェックするだけでこれを確認できます。
連邦政府機関では、強固なセキュリティとコンプライアンスを確保するために、Keeperなど、FedRAMP High認定プロバイダーと連携することが不可欠です。
