FedRAMPとは何ですか？

米国連邦政府がクラウドサービスのセキュリティを評価・認定するための標準化されたプログラム。政府機関がクラウドを採用する際にFedRAMP認定済みサービスを優先利用する「クラウドファースト」政策の基盤となっている。

FedRAMPのポイントは？

NIST SP 800-53をベースにしたセキュリティ要件を満たすことが認定条件。一度認定を取得すると複数の連邦機関で再利用でき、審査コストを大幅に削減できる。認定レベルはデータの影響度によりLow・Moderate・Highの3段階に分かれる。民間企業が政府向けクラウドビジネスに参入するための事実上の必須資格となっている

【フェドランプ】

FedRAMP とは？

💡 米国政府のクラウド採用に必要な、厳格な安全審査の合格証

📌 このページのポイント

NIST SP 800-53をベースにしたセキュリティ要件を満たすことが認定条件
一度認定を取得すると複数の連邦機関で再利用でき、審査コストを大幅に削減できる
認定レベルはデータの影響度によりLow・Moderate・Highの3段階に分かれる
民間企業が政府向けクラウドビジネスに参入するための事実上の必須資格となっている

FedRAMPのイメージ：認定の流れと3段階レベル

ひよこ

FedRAMPって名前はよく聞くけど、何のための制度なの？

ペンギン先生

米国の連邦政府機関がクラウドサービスを使うとき、そのサービスがセキュリティ的に安全かどうかを政府が認定する制度だよ。AWSやMicrosoft Azureなども取得していて、政府向けサービスでは必須になっているんだ。

ひよこ

認定を取ると何がいいの？

ペンギン先生

一つの機関が審査を通れば、その結果を他の連邦機関も再利用できる「一度審査すれば全員が使える」という仕組みがあるんだ。これを「Do Once, Use Many Times」と呼ぶよ。審査コストが大幅に下がるから、ベンダーにとってもメリットが大きいね。

ひよこ

審査は難しいの？

ペンギン先生

かなり厳しいよ。NIST SP 800-53という米国政府のセキュリティ基準をベースにしていて、数百項目のコントロールを満たす必要があるんだ。第三者評価機関（3PAO）による独立した監査も必要だよ。

ひよこ

レベルがLow・Moderate・Highに分かれてるって聞いたけど、何が違うの？

ペンギン先生

扱うデータの重要度によって分かれているよ。Lowは一般公開データ向け、Moderateは個人情報など影響が中程度のデータ向け、Highは国家安全保障に関わる機密データ向けだね。Highになるほど要件は格段に厳しくなるんだ。

ひよこ

日本でも似たような制度ってあるの？

ペンギン先生

日本には政府調達向けの「政府情報システムのためのセキュリティ評価制度（ISMAP）」があるよ。FedRAMPを参考に設計されていて、クラウドベンダーが登録することで政府機関への提案がしやすくなる制度だね。

まとめ：ざっくりこれだけ覚えればOK！

「FedRAMP」って出てきたら「米国政府公認のクラウドセキュリティ認定」と思えればだいたいOK！

📖 おまけ：英語の意味

「Federal Risk and Authorization Management Program」＝連邦リスク・認可管理プログラム

💬 Federal（連邦）+ Risk and Authorization Management（リスクと認可の管理）+ Program（プログラム）を組み合わせた名称で、2011年に米国政府が設立した公式プログラムだよ

← 用語集にもどる