Google Cloud での FedRAMP コンプライアンス

免責

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。お客様は、サービスの特定の使用方法を必要に応じて独自に評価し、ご自身の法律および法令に関する遵守義務を果たす責任を負います。

対象読者

米国連邦政府によるリスクおよび認証管理プログラム(FedRAMP)の要件を遵守する必要があるお客様のために、Google Cloud は FedRAMP Moderate コンプライアンスをサポートしています。このガイドは、セキュリティ責任者、コンプライアンス責任者、IT 管理者、Google Cloud への FedRAMP Moderate の実装とコンプライアンスを担当するその他の従業員を対象としています。このガイドを読むことで、Google が FedRAMP Moderate コンプライアンスをサポートする方法を理解できるようになります。

概要

クラウド サービスの FedRAMP 承認には次の 2 つのタイプがある点に留意することが重要です。

  • Provisional Authority to Operate(P-ATO)
  • 政府機関の Authority to Operate(ATO)

P-ATO のプロセス

FedRAMP P-ATO は、JAB が CSP 承認パッケージを最初に承認することで承認されます。この機関は、代理店がクラウド サービスを取得して使用できるようにするために ATO を付与できます。JAB は、DOD、DHS、GSA の最高情報責任者(CIO)から構成され、各メンバー組織の技術担当者(TR)によってサポートされています。P-ATO とは、JAB がクラウド サービスの認証パッケージを確認し、クラウド システムの ATO を付与する際に連邦機関が暫定的に承認したことを意味します。クラウド サービスが JAB プロセスに入るには、まず FedRAMP Connect を通して優先度が付けられます。

Agency ATO のプロセス

代理店による承認プロセスの一環として、CSP はクラウド サービスのセキュリティ パッケージを確認する代理店スポンサーと直接連携します。セキュリティ評価を完了した後、機関の責任者(または担当者)は ATO を付与できます。この 2 つの承認パスの詳細については、承認の取得ページをご覧ください。

米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program: FedRAMP)。クラウド製品やクラウド サービスを対象として、セキュリティ評価、認可、継続的モニタリングの標準規格を規定する米国連邦政府のプログラムです。特定のオンプレミス プライベート クラウド以外のすべての連邦政府機関のクラウドのデプロイとサービスモデルは、FedRAMP 要件が定める適切なリスク影響レベル(Low、Moderate、または High)に準拠している必要があります。

Google は、FedRAMP Moderate コンプライアンス サポートを必要とするお客様向けに、Assured Workloads を通じてサービス固有の規約を提供しています。Google Cloud は、大半のオンプレミス セキュリティ チームよりも大規模な、700 人を超えるセキュリティ エンジニアリング チームの指導の下で構築されています。データ保護の仕組みが組織的および技術的にどのように管理されているかなど、セキュリティとデータ保護に対する Google の取り組みの詳細については、Google のセキュリティに関するホワイトペーパーGoogle インフラストラクチャのセキュリティ設計の概要をご覧ください。

セキュリティとプライバシー設計の取り組みを文書化することに加えて、Google は複数の第三者による監査を定期的に実施し、外部検証の結果をお客様にお知らせしています。このような独立した監査機関が Google のデータセンターやインフラストラクチャ、運用における管理状況を厳格に検査しています。Google は、NDA に基づいて、Google の認定された FedRAMP Moderate System Security Plan(SSP)をお客様に提供できます。

お客様の責任

お客様の主な責任の一つとして、Google の FedRAMP Moderate 認証が目的に十分対応できるかどうかについて判断します。

Google は FedRAMP Moderate 規制対象データの保管および処理用に(上記のとおり)安全でコンプライアンス性の高いインフラストラクチャを提供していますが、Google Cloud Platform の上に構築する環境とアプリケーションが FedRAMP Moderate 要件に従って正しく構成され、保護されていることを確認するのは、お客様の責任になります。これは、クラウドの共有セキュリティ モデルと呼ばれます。

重要なベスト プラクティス

  • Google Cloud の FedRAMP 規約に同意します。これは、FedRAMP Moderate Assured Workloads をデプロイするときに、本質的に行うことができます。
  • FedRAMP Moderate 規制対象データで作業を行う際は、Google の FedRAMP Moderate P-ATO に明示的に含まれていない Google Cloud プロダクト(対象となるプロダクトを参照)を無効にするか、無効にしない場合は使用していないことを確認します。
  • Google Cloud では、FedRAMP お客様パッケージを使用して、共有セキュリティ モデルのガイダンスをお客様にご提供できます。このパッケージには以下の対象が含まれます。
    • FedRAMP Moderate セキュリティ制御ガイド
    • FedRAMP SSP ハイ ベースライン テンプレート
    • FedRAMP SSP Moderate ベースライン テンプレート
    • NIST サイバーセキュリティ フレームワーク ガイド
  • また、Google Cloud の FedRAMP 実装ガイドセキュリティ モデル アーキテクチャでは、Google Cloud の共有セキュリティに関する補足の推奨事項を提供しています。

対象となるプロダクト

Google Cloud FedRAMP Moderate は、Google Cloud のインフラストラクチャ全体(全リージョン、全ゾーン、全ネットワーク パス、全接続拠点)および対象範囲内の FedRAMP Moderate プロダクトをカバーします。

特有の機能

Google Cloud のセキュリティ対策により、Google のクラウドの一部だけではなく、Google Cloud のインフラストラクチャ全体をカバーする FedRAMP Moderate ATO を実現できるようになりました。その結果として、特定のリージョンに制限されることなく、スケーラビリティ、運用性、アーキテクチャ上の利点を得ることができます。また、マルチリージョンによるサービス冗長性や、プリエンプティブ VM によるコスト削減の利点も得ることができます。

FedRAMP Moderate コンプライアンスのサポートを可能にするセキュリティとコンプライアンスの対策は、Google のインフラストラクチャ、セキュリティ設計、プロダクトに、すでに浸透しています。そのため、FedRAMP Moderate 規制対象のお客様にも、すべてのお客様と同じプロダクトを同じ料金で、継続利用割引も含めて提供できます。

まとめ

Google Cloud は、お客様が基盤となるインフラストラクチャについて懸念することなく、FedRAMP Moderate の規制対象情報を安全に保存、分析して、分析情報を取得できるクラウド インフラストラクチャです。

参考情報