FedRAMPはFederal Risk and Authorization Management Programの略で、米国政府の採用する「クラウドサービスに関するセキュリティ評価・認証の統一ガイドライン」です。事業者が自社サービスを米国政府機関に提供する場合は、このセキュリティ基準を満たす必要があります。

FedRAMP登場以前は、採用時に各省庁で独自にセキュリティ評価を行っていたため、評価する側・評価される側双方に膨大な手間が掛かっていました。FedRAMPはこの課題を解決するために導入されたもので、一度FedRAMPの認証を受けたクラウドサービスは連邦政府各省庁であればどこでも追加の承認なく採用可能となりました。

米国政府がクラウドサービスを利用する上でFedRAMPは下記の点で重要となっています。

• 評価基準の統一による米国政府とクラウドサービス事業者との透明性の担保
• 評価の簡略化
• 米国政府内での安全なクラウドサービスの導入

米国政府機関にサービスを提供するための認証制度であり、提供者は米国だけでなく、日本を含む世界中の企業、組織が対象となります。

FedRAMPはクラウドサービスの情報セキュリティ基準を示したガイドラインであり、以下の特徴があります。

• 連邦政府機関統一のクラウド製品・サービスについてのセキュリティレベル評価基準であり、認証されたサービスは米国の全ての政府機関で利用可能となる
• 評価指標には米国の連邦政府機関に対するセキュリティ管理策等を定めたNIST SP800-53（^※1）をベースとしたセキュリティガイドラインを使う
• 評価は認定を受けた第三者機関である3PAO（^※2）が実施し、その結果をJAB（^※3）が検討・認証する

※1 NIST: National Institute of Standard and Technology (米国国立標準研究所)。NIST SP800-53はNISTが発行した「連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策」
※2 3PAO: Third-Party Assessment Organization （第三者評価機関）
※3 JAB:　Joint Authorization Board（ 合同認証委員会、米国の国防総省や国土安全保障省などで構成）

政府の基準なので、記載する文書の量が多い等、難易度は少々高いですが、FedRAMPのベースとなっているNIST SP800-53は、ISO/IEC27001(ISMS: 情報セキュリティマネジメントシステム)の管理策とのマッピングがとられています。よって、元からISO/IEC27001を取得済みのクラウドサービス事業者に関しては、ISO/27001をベースに認証対応を進めることが可能です。また、これからISO/IEC27001の認証をとろうと考えているクラウドサービス事業者に関しても重複する部分も多いのでISO/IEC27001とFedRAMP同時並行で認証対応を進めることが可能です。

実際にFedRAMP認証取得にあたっては、大きく分けて5つのステップでの対応が必要です。また、運用フェーズではさらに1ステップについての監査が発生するため、FedRAMPの対応としては計6ステップあります。この一連の評価手順はNIST SP800-53のNISTリスク管理フレームワークに準拠しています。(図表1)

では、FedRAMPの6ステップの各対応について、見ていきます。

Step1：情報システムの分類

まず、対象クラウドサービスで使用しているデータを分類します。情報セキュリティの目的3点 (機密性、完全性、可用性)において、なんらかのセキュリティ侵害を受けた際の影響を検討し、3つのインパクトレベルに分類します。

インパクトレベルが「低」の場合は限定的な影響、「中」の場合は重大な影響、「高」の場合は致命的、壊滅的な影響と定義されています。

Step2：セキュリティ管理策の選択

分類後、インパクトレベル別にFedRAMPが定義する管理策を策定していきます。大きくは17カテゴリーあって、インパクトレベルによって各カテゴリーの設問数が変わります。つまり、インパクトレベルが「低」に比べて「中」の管理策が多く、「高」は策定すべき管理策が更に多くなります。(図表2)

Step3： セキュリティ管理策の実施

セキュリティ管理策の策定後、その実装内容を文書化します。FedRAMPホームページにシステムセキュリティ計画(SSP)文書テンプレートが用意されているため、これを使うのが効率的でしょう。SSPは基本文書以外に、13の添付文書を提出する必要があります。(図表3)

主要文書となるSSPにはクラウドサービスの概要やセキュリティ管理策、担当者等の情報を記載します。文書全体で13セッションの構成ですが、大きく3つのカテゴリー(システムの分類、システムの説明、システムのセキュリティ管理策)に分類できます。(図表4)

Step4：セキュリティ管理策の評価

一通りの文書を用意した後、3PAOが実施する独立したセキュリティ評価を受けます。

まず、セキュリティ評価計画(SAP：Security Assessment Plan)を策定し、その内容にのっとりテストを実施し、テストの結果をセキュリティ評価レポート(SAR：Security Assessment Report)にまとめます。いずれもSSPと同様、FedRAMPのホームページにテンプレートが用意されています。SAPとSARはクラウドサービス事業者と３PAO双方合意の元、作成します。

SAPはシステムのセキュリティ評価にあたってのテスト計画を説明するもので、テストの範囲や手順、使用ツール等を記載します。この計画は３PAO、クラウドサービス事業者双方の同意が必要です。SAPもメインの文書のほかに3個の添付文書があります。

SARはSSPやSAPの内容を評価した結果をまとめたレポートで、セキュリティ管理策の評価終了時に作成します。SARもメイン文書のほかに10個の添付文書があります。（図表5）

Step5：情報システムの運用認可

Step4の評価の結果、基準を満たした場合に該当クラウドサービスはFedRAMP認証を取得できます。これにより、認定されたクラウドサービスは政府機関での導入が可能となります。

Step6：セキュリティ管理策の監視

認証継続のため、年次で認証機関の審査を受ける必要があり、かつ月次でセキュリティモニタリング状況を報告する必要があります。審査時に脆弱性が発見された場合、高レベルのものは30日、中レベルのものは90日以内に改善する必要があります。

FedRAMPは「政府機関に認証された堅牢なシステム」というお墨付きとでも言うべき評価指標であり、「Amazon Web Services（AWS）」（アマゾン）や「オフィス365」（マイクロソフト）、「G suite」（グーグル）等、多くのクラウドサービスが既に認証を取得しています。

FedRAMP認証にあたっては相当な労力が必要となりますが、一連の対応がセキュリティレベルの向上に繋がるのは間違いなく、一度認証を取得すると対外的なアピールに活用できるというメリットがあります。特に米国でビジネス展開をしている、もしくは考えている場合には認証取得は有用です。