クラウドサービスの信頼を高める「FedRAMP」とは？

FedRAMPとは何か？

近年、政府機関においてもクラウドサービスの導入が加速しています。しかし、そこに求められるのは「利便性」だけではありません。機密性の高い情報を扱う以上、「セキュリティ」と「信頼性」は何よりも重視されるべき要素です。そこで登場するのが FedRAMP（Federal Risk and Authorization Management Program）――米国政府が定める、クラウドサービスに対する統一的なセキュリティ認証プログラムです。

FedRAMPの概要

FedRAMPは、2011年に米国政府のCIO評議会（Chief Information Officers Council）によって設立されました。その目的は、政府機関がクラウドサービスを安全かつ効率的に導入できるようにするための標準化されたセキュリティ評価プロセスを提供することです。

従来、各機関が独自にベンダーを評価していたため、コストや時間がかかり、重複作業が発生していました。FedRAMPはそれを一元化し、クラウドサービスプロバイダー（CSP）が一度認証を取得すれば、複数の政府機関で再利用可能な「認定済み」となるというメリットがあります。

FedRAMP認証のレベル

FedRAMPにはクラウドサービスの扱う情報の「機密度」に応じた3つのインパクトレベルが定義されています。

• Low（低）：公開情報など、損害が小さい情報を対象

• Moderate（中）：個人情報や業務情報など、損害が中程度の情報

• High（高）：国家安全保障や重要インフラに関わる、高度な機密情報

この分類に基づき、クラウドサービスはNIST SP 800-53（米国国立標準技術研究所が定めたセキュリティ基準）に準拠したセキュリティコントロールを実装し、第三者機関（3PAO）による評価を受ける必要があります。

FedRAMP取得のプロセス

FedRAMP認証を取得するには、主に2つの方法があります。

1. JAB P-ATO（Joint Authorization Board Provisional Authorization）
   　米国政府の主要3機関（DoD、GSA、DHS）による認定。影響力が高く、多くの機関で採用されやすいが、審査も厳格。

2. Agency ATO（Agency Authority to Operate）
   　個別の政府機関がCSPと直接契約し、評価・認可を行う方法。比較的柔軟性があるが、他機関への再利用には限りがある。

---

製造業におけるFedRAMP取得ステップ

【STEP 0】準備段階：取得の要否を明確にする

• 自社のクラウドサービスが米国政府機関向けかどうかを確認

• 対象システム（例：クラウド型IoT管理プラットフォーム）がFedRAMPの適用範囲にあるか確認

• 「Low」「Moderate」「High」どのインパクトレベルに該当するか判定

---

【STEP 1】社内体制とパートナーの選定

• FedRAMP対応のためのセキュリティ・認証チームの立ち上げ

• 以下の外部支援先を選定

  • コンサルタント（FedRAMP支援経験あり）

  • 3PAO（第三者評価機関）

---

【STEP 2】システム設計・セキュリティ文書作成

FedRAMPでは膨大な文書と詳細な設計が求められます。

必要な主な文書

• System Security Plan（SSP）：システムの構成、制御策、運用方針などの詳細

• Policies & Procedures：アクセス制御、変更管理、インシデント対応など

• Contingency Plan（CP）

• Configuration Management Plan（CMP）

セキュリティ要件の実装

• NIST SP 800-53（Rev.5）ベースの制御策に対応

• 製造業に特有のインターフェース（例：OT-IT連携部分、SCADAデータのクラウド送信）にも対応策を準備

---

【STEP 3】3PAOによる初期評価（セキュリティ評価）

• Pre-Assessment（事前評価）

• Security Assessment Plan（SAP）作成

• ペネトレーションテスト、脆弱性スキャン、構成チェックなどを実施

• 結果はSecurity Assessment Report（SAR）として提出

---

【STEP 4】FedRAMPへの申請（JABまたはAgencyルート）

• JABルート：JAB選定の対象に選ばれれば、広く展開できる（ただし競争が激しい）

• Agencyルート：製造業でよくあるのはこちら。すでに契約中の連邦政府機関があれば、その支援で申請可

---

【STEP 5】認可取得（Authorization to Operate：ATO）

• 全書類と評価結果を提出し、ATO（運用認可）を取得

• FedRAMP Marketplaceにサービスが掲載される

---

【STEP 6】継続的モニタリング（Continuous Monitoring）

• 月次・四半期・年次で以下を提出

  • セキュリティスキャン結果（OS・DB・Web等）

  • POA&M（Plan of Actions and Milestones）

  • 変更管理ログ

• インシデント対応報告義務あり

FedRAMPがもたらすメリット

• 政府調達のハードルをクリア
  　米国連邦政府機関との契約において、FedRAMPはほぼ必須条件です。

• セキュリティの信頼性が向上
  　NIST準拠の厳格な基準を満たすことで、セキュリティへの信頼性が高まります。

• 市場競争力の向上
  　一度の取得で複数機関への導入が可能になり、展開の効率が飛躍的にアップします。

日本企業への影響と展望

FedRAMPは米国内の制度ですが、米国市場に進出する日本企業や、政府系プロジェクトを対象としたSaaSプロバイダーにとっては、事実上の「パスポート」となる認証です。また、近年ではFedRAMPを参考にしたセキュリティ評価制度が、他国や民間でも導入されつつあり、国際的なセキュリティ基準としても存在感を増しています。

まとめ

FedRAMPは単なる「認証制度」ではなく、クラウド活用における信頼とセキュリティの保証を担保する重要な仕組みです。クラウドサービスが社会インフラとして定着する中、FedRAMPは今後さらに注目されるキーワードとなるでしょう。