FedRAMPとは

FedRAMP(フェドランプ)とは、米国政府が調達するクラウドサービスの基準が定められた認証プログラム。

「Federal Risk and Authorization Management Program」の略で、クラウド事業者が提供する製品やサービスに関するセキュリティ評価や認証、継続的監視に関する標準的なアプローチとして2011年に制定された。

FedRAMPの目的は、省庁間で重複するセキュリティアセスメントとクラウド認証のコストおよび時間を削減することにある。FedRAMPによる認証を受けたクラウドサービスは、各省庁で調達評価を受ける必要がなくなり(認証を引き継ぐことができ)、サービスの提供や各省庁間での利用などが可能となる。ある省庁で追加的な要求仕様がある場合、その仕様との差分のみ満たせばよい。

自社の製品やサービスを米国政府に提供したいクラウドサービスプロバイダーは、FedRAMPに準拠することが前提となっており、AWS(Amazon Web Services)やMicrosoft Azure、GCP(Google Cloud Platform)など、主要なパブリッククラウド事業者が、FedRAMPに対応していることを公表している。

現在、多くの企業でクラウドサービスの利用が増加している。米国政府においても「クラウドファースト」ポリシーのもと、積極的にクラウドサービスを利用することを進めているが、連邦政府機関すべてに対し、クラウドサービスに対するセキュリティ評価、認証、継続的監視を実施する際にFedRAMP プロセスを使用するよう要求している。

今後、FedRAMPは国際基準になることが想定されており、日本においても日本版FedRAMPの創設が明言されている。今後、ますます国内でも注目度が高まるものと思われる。

セキュリティ用語辞典一覧ページへ

関連キーワード:

AWS

FedRAMP

GCP

Microsoft Azure

クラウドサービス

クラウドファースト

セキュリティアセスメント

パブリッククラウド

国際基準

継続的監視