FedRAMP
米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program: FedRAMP)。クラウド製品やクラウド サービスを対象として、セキュリティ評価、認可、継続的モニタリングの標準規格を規定する米国連邦政府のプログラムです。米国連邦議会は 2022 年、「政府機関によって使用される非機密情報を処理するクラウド コンピューティング プロダクトおよびサービスのセキュリティ評価と認証に対して、標準化された再利用可能なアプローチを提供する政府規模プログラム」として FedRAMP を成文化しました。
特定のオンプレミス プライベート クラウド以外のすべての連邦政府機関のクラウドのデプロイとサービスモデルは、FedRAMP 要件が定める適切なリスク影響レベル(Low、Moderate、または High)に準拠している必要があります。
FedRAMP で承認されたサービスを Google Cloud でホストすることに関心をお持ちのお客様は、FedRAMP の Moderate または High 影響レベルを遵守するために、Assured Workloads を使用する必要があります。詳しくは下記をご覧ください。
Google Cloud の FedRAMP コンプライアンス
FedRAMP 委員会(旧称: 合同認定委員会)は FedRAMP の主要な統治機関であり、国防総省(DoD)、国土安全保障省(DHS)、一般調達局(GSA)、および GSA 管理者と FedRAMP ディレクターによって決定されるその他の機関を含んでいます。
FedRAMP 委員会は、Google Cloud インフラストラクチャと特定の Google Cloud サービス パッケージ(CSO)に対して FedRAMP Moderate および FedRAMP High の Authority to Operate(ATO)を発行しました。Google Cloud は、FedRAMP の Moderate および High の承認を得るために追加のサービスを委員会に定期的に提出しています。
Google Cloud は、秘密保持契約(NDA)をすでに結んでいるお客様に FedRAMP コンプライアンスの追加の証拠を直接提供しています。NDA のもとで入手可能なドキュメントには、以下が含まれます。
- FedRAMP 顧客責任マトリックス(CRM)
- Google Cloud のシステム セキュリティ プラン(SSP)
- ペネトレーション テストのレポートとその他のドキュメント
Google のセールスチームまたは Google Cloud の営業担当者が、拡張ドキュメントへのアクセス方法をご案内します。政府機関のお客様は、パッケージ リクエスト フォームを使用して、FedRAMP プログラム管理オフィスを通じて Google の FedRAMP パッケージをリクエストすることもできます。
Google パートナーから購入するお客様の場合、購入に関する利用規約はパートナーから継承されます。
Google Workspace の FedRAMP コンプライアンス
Google Workspace は、クラウドのセキュリティとプライバシーに関するさまざまな米国連邦政府の基準および国際基準に準拠しています。Google Workspace は FedRAMP High 認証を維持しているだけでなく、ISO 27017、27018、27001 にも準拠しており、American Institute of Certified Public Accountants(AICPA)の Service Organization Control(SOC)基準に照らして監査を受けています。
Google Cloud VMware Engine(GCVE)の FedRAMP High データ
FedRAMP の Program Management Office(PMO)は 2023 年後半、第三者評価機関(3PAO)による Google Cloud VMware Engine(GCVE)の High Readiness Assessment Report(RAR)審査を完了しました。審査の結果、特に機能上の弱点は認められなかったため、GCVE は FedRAMP High Ready サービス(FedRAMP パッケージ ID FR2405153785)として承認されました。
FedRAMP High Ready の達成は、米国連邦政府に対して、GCVE が FedRAMP 承認を取得する可能性が高いことを示唆します。GCVE は、ISO 27017、27018、27001、PCI- DSS にも準拠しており、American Institute of Certified Public Accountants(AICPA)の Service Organization Control(SOC)基準に照らして監査を受けています。
Google Cloud での FedRAMP Moderate および High ワークロードのホスティング
Google Cloud は、インフラストラクチャについてデフォルトで提供されるセキュリティに投資しています。これにより、セキュリティ コントロールがあらかじめ構成された状態で組み込まれるため、お客様は従来の分離された政府クラウド アーキテクチャを使用せずに、さまざまなコンプライアンス レベルを達成できるようになります。
Google Cloud を使用して FedRAMP Moderate および High 環境にソリューションをデプロイすることを検討しているお客様は、Assured Workloads を使用する必要があります。Assured Workloads では、Google Cloud サービスを使用して、機密性の高いワークロードを確実に保護して構成し、コンプライアンスとセキュリティの要件に対応できます。Assured Workloads は、パブリック クラウド データセンターと異なる物理インフラストラクチャには依存せず、代わりに、コスト、スピード、イノベーションの面でメリットのあるソフトウェア定義コミュニティ クラウドを提供します。
Assured Workloads を通じて提供される FedRAMP 認定サービスでは、FedRAMP セキュリティ コントロールが実装され、お客様は Google Cloud の機能を使用して組織のニーズを満たすことができます。Assured Workloads では、Assured Workloads モニタリングを使用して FedRAMP ワークロードのコンプライアンス状態を可視化することもできます。このツールにより、コンプライアンス違反を特定して修正し、コンプライアンス状態の管理証明書を監査人に提供することができます。
Assured Workloads は、Google Cloud インフラストラクチャの FedRAMP High ATO を活用したコントロールに加えて、FedRAMP High の政府データを扱うお客様向けに、次の主要な FedRAMP High コントロールもデフォルトで実装しています。
- FedRAMP High の顧客データのロケーションを米国に制限するためのガードレールを設定
- テクニカル サポート スタッフを米国内の FedRAMP 認定担当者に制限
- 保存中と転送中のデータに FIPS-140-2 準拠の暗号化の使用を必須化
- 顧客データに日常的にアクセスする担当者を対象に、FedRAMP に必要な人員アクセス制御を実装
- デベロッパーが FedRAMP 準拠のプロダクトやサービスのみを使用するように制限
- FedRAMP の Moderate 要件と High 要件をサポートする、対象範囲内のコンプライアンス境界を論理的に分類
Google Workspace での FedRAMP Moderate および High データのホスティング
Google Workspace は FedRAMP High ATO を維持しており、お客様はこれを利用して FedRAMP Moderate および High データをホスティングできます。FedRAMP Moderate および High 環境に Google Workspace をデプロイすることを検討しているお客様は、それぞれの認証要件を満たす FedRAMP 認証サービスを有効にする必要があります。Google Workspace でサービスを有効または無効にする方法をご確認ください。
また、Google Workspace Business エディションと Google Workspace Enterprise エディションには、セキュリティ コントロールと機能セットが組み込まれているため、お客様は FedRAMP High の要件を満たして、独自の ATO で運営を管理できます。Google Workspace ユーザーは、データ リージョン ポリシーを使用して、FedRAMP のデータ所在地コントロール要件を満たすように環境を構成できます。
FedRAMP Authority to Operate(ATO)の取得プロセス
政府データを Google Cloud でホスティングすることに関心をお持ちのお客様は、独自の Authority to Operate(ATO)を取得することも検討している可能性があります。組織は、Google Cloud で ATO を取得するために、次のマイルストーンを考慮する必要があります。
- 対象範囲内のデータに FedRAMP Moderate と FedRAMP High のどちらが必要かを判断する
- 対象範囲内の Google Cloud サービスの Assured Workloads を選択する(FedRAMP Moderate は無料枠、FedRAMP High にはプレミアム サブスクリプションが必要)
- Google Cloud 内の FedRAMP 境界を決定する
- 共有責任モデル、顧客責任マトリックス、対象範囲内の Google Cloud サービス、FedRAMP ガイドラインに従ってワークロードを構成する
- 第三者評価機関(3PAO)による監査を受ける
- 審査と承認を受けるために FedRAMP 委員会または連邦政府機関にパッケージを提出する
ATO プロセスの詳細については、FedRAMP のウェブサイトをご覧ください。 Google Cloud による FedRAMP ATO の追加サポートについては、Google Cloud コンサルティングのページをご覧ください。