FedRAMPとは？～制度の概要と認証までのプロセスを解説～

FedRAMPとは？

FedRAMP（Federal Risk and Authorization Management Program）とは、クラウドサービスを対象とする米国連邦政府の調達要件に関する認証制度です。オバマ政権下で 2011 年に掲げられた「クラウド・ファースト（Cloud First）」政策を推進するために立ち上げられ、連邦政府全体で安全なクラウドサービスの導入を促進することを目的としています。日本でも、日本版FedRAMPとしてISMAPが同様の制度として知られています。FedRAMPでは、政府がクラウドサービスを調達するにあたり、クラウドサービスプロバイダー（CSP）が従わなければならないセキュリティ要件が定められています。このセキュリティ要件に適合し、評価機関から認証を得たクラウドサービスのみが政府と契約できるようになっています。

FedRAMPの認証を受けたクラウドサービスは、FedRAMPマーケットプレイスにて公開されています。2023年11月時点で、318のクラウドサービスが認証を受けており、105のサービスが認証のプロセス段階となっています。

FedRAMPマーケットプレイス

また、FedRAMPの認証には、クラウドサービスに求められる機密性、完全性、可用性に応じたインパクトレベルが3段階で設定されています。機密性、完全性、可用性の喪失を起因として、インパクトレベル「低」は限定的な影響、インパクトレベル「中」は重大な影響、インパクトレベル「高」は生命の保護や経済的破滅といった非常に重大な影響が想定されています。また、この3段階に加えて「LI-SaaS」というレベルも設定されています。LI-SaaSはインパクトレベル「低」の軽量版で、ログイン機能に必要なもの（ユーザ名、パスワード、メールアドレス）以上の情報を保存しないSaaSアプリケーションを対象にしています。
FedRAMPのセキュリティ要件は、NIST SP800-53のセキュリティコントロールとガイドラインに基づいて構築されていますが、インパクトレベル別に準拠すべき項目数が異なります。インパクトレベルが高くなるほど、準拠すべき項目数が増え、求められるセキュリティレベルも高くなっています。

FedRAMPマーケットプレイスでは、クラウドサービスのインパクトレベルも公開されている

FedRAMP認証済みのクラウドサービスのインパクトレベルの割合
FedRAMPマーケットプレイスの情報をもとにトレンドマイクロが作成

FedRAMPにおける認証までのプロセス

まず、FedRAMPの認証「Authorization to Operate (ATO)」を取得するには2つの方法があります。合同認証委員会「Joint Authorization Board (JAB)」から FedRAMP Provisional Authorization to Operate (P-ATO)を取得する「JAB Authorization」、特定の政府機関から FedRAMP ATO を取得する「Agency Authorization」の2種類です。

JAB Authorizationにおいて、認証を行う機関であるJABは、国土安全保障省（DHS）、一般調達局（GSA）、および国防総省（DOD）の最高情報責任者（CISO）から成り立っており、高位の政府機関がクラウドサービス認証を行います。そのプロセスでは、厳格な審査が含まれますが、一度JAB Authorizationを取得できると、その認証は他の政府機関に対しても信頼性の高い証明となります。各政府機関は、CSPのセキュリティコントロールやプロセスに関する詳細な情報を含み、セキュリティ評価の結果が文書化されているP-ATOパッケージを再利用（FedRAMPでは「Reuse」と定義）して、認証を付与することができます。あらかじめ、より広範な連邦政府市場向けにクラウドサービスを提供するために設計されている認証方法と理解できます。

一方、Agency Authorizationで取得したFedRAMP ATOの認証の範囲は、通常、そのクラウドサービスを認証した特定の政府機関に限定されます。これは、Agency Authorizationが特定の連邦機関によって行われ、その機関の独自のセキュリティ要件やコンプライアンス要件に合わせて行われるためです。他の政府機関が同じCSPのクラウドサービスを利用する場合、JAB Authorizationと同様に、ATOパッケージが共有され、再利用して認証を付与できます。

FedRAMPマーケットプレイスでは、認証タイプや認証を行った連邦政府機関を参照できるようになっている。
上記の画像ではAgency Authorizationで、認証した連邦政府機関は国立科学財団（National Science Foundation）であることが読み取れる。

FedRAMPの認証取得までにCSPが用意すべきドキュメントは、大きく以下の４つです。

1. System Security Plan (SSP): SSPは、CSPが情報システムで使用しているすべてのセキュリティコントロールとその実装を説明する文書です。情報セキュリティポリシーと手順、ユーザーガイド、情報システム継続計画などが含まれます。

2. Security Assessment Plan (SAP): SAPは、セキュリティ評価の計画を詳細に説明した文書です。この文書は、セキュリティ評価の範囲、手順、タイムライン、および責任が含まれます。

3. Security Assessment Report (SAR): SARは、セキュリティ評価の結果を詳細に説明した文書です。この文書は、評価されたセキュリティコントロールの有効性とリスクを明確にします。リスク露出表、テストケース手順、脆弱性スキャン結果などが含まれます。

4. Plan of Action and Milestones (POA&M): POA&Mは、セキュリティリスクを軽減するための計画を詳細に説明した文書です。この文書は、特定されたセキュリティリスク、その重要性、およびそれらを軽減するための具体的な行動計画が含まれます。

CSPは、これらのドキュメントを用意しながら、以下のプロセスに沿って、FedRAMPの認証を進めていくことになります。

Agency AuthorizationにおけるFedRAMP認証プロセス
Agency Authorizationの画像を元にトレンドマイクロにて抄訳・作成

まとめ

FedRAMPの認証取得までには、FedRAMPのセキュリティ要件となるNIST SP800-53のセキュリティコントロールへの対応に加えて、様々なドキュメントの準備が必要になり、それらに対応するためには時間や金銭面でのコストが必要になります。また、認証取得後もセキュリティ評価の報告やFedRAMPのセキュリティベースラインのアップデートがあれば、対応も求められることになります。

一方で、FedRAMPの認証を取得することで得られるメリットも大きく、大規模クラウドサービスを運営する企業を中心にFedRAMPの認証を取得するCSPは増え続けています。認証を取得することで、連邦政府とのビジネスチャンスが広がるだけではなく、製品がクラウドセキュリティの最高基準を満たしていることの証明になるため、クラウドサービスの信頼性向上にも繋がります(CSPはFedRAMP認証を受けたクラウドサービスを政府機関のみに提供している場合もあります)。また、認証されていることは公開されており、例えば州政府や企業にとってもクラウドサービスの選定基準になり得ます。そのため、FedRAMP はCSPにとって、大きな投資価値がある制度となっているのです。