FedRAMP
米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program: FedRAMP)。クラウド製品やクラウド サービスを対象として、セキュリティ評価、認可、継続的モニタリングの標準規格を規定する米国連邦政府のプログラムです。米国連邦議会は 2022 年、「政府機関によって使用される非機密情報を処理するクラウド コンピューティング プロダクトおよびサービスのセキュリティ評価と認証に対して、標準化された再利用可能なアプローチを提供する政府規模プログラム」として FedRAMP を成文化しました。
特定のオンプレミス プライベート クラウド以外のすべての連邦政府機関のクラウドのデプロイとサービスモデルは、FedRAMP 要件が定める適切なリスク影響レベル(Low、Moderate、High)に準拠している必要があります。
Google Cloud の FedRAMP コンプライアンス
FedRAMP 委員会(旧称: 合同認定委員会)は FedRAMP の主要な統治機関であり、国防総省(DoD)、国土安全保障省(DHS)、一般調達局(GSA)、および GSA 管理者と FedRAMP ディレクターによって決定されるその他の機関を含んでいます。
FedRAMP Board は、Google Cloud とその基盤となるインフラストラクチャに対して FedRAMP High の暫定運用認証(P-ATO)を発行しています。Google Cloud は、FedRAMP High の承認を得るために追加のサービスを委員会に定期的に提出しています。
Google Cloud サービスを使用して FedRAMP High のコンプライアンス義務を満たすことを検討している場合は、FedRAMP High 用の Assured Workloads データ境界と Assured Support を使用する必要があります。FedRAMP Moderate のコントロール ベースラインは、FedRAMP High のコントロール ベースラインのサブセットです。したがって、Google Cloud にデプロイされたソリューションの FedRAMP Moderate ATO を取得している場合、FedRAMP Moderate の認可境界内で、FedRAMP High 認証を受けた Google Cloud サービスをどれでも使用できます。
Google は、秘密保持契約(NDA)に基づき、以下の Google Cloud FedRAMP コンプライアンス ドキュメントを提供できます。
- 顧客責任マトリックス(CRM)
- システム セキュリティ プラン(SSP)
Google のセールスチームまたは Google Cloud の営業担当者が、このドキュメントへのアクセス方法をご案内します。政府機関のお客様は、パッケージ リクエスト フォームを使用して、FedRAMP プログラム管理オフィスを通じて Google の FedRAMP パッケージをリクエストすることもできます。
Google パートナーを通じて Google Cloud サービスを購入する場合、購入に関する利用規約はパートナーから継承されます。
Google Workspace の FedRAMP コンプライアンス
Google Workspace は、クラウドのセキュリティとプライバシーに関する米国連邦政府の各種標準やグローバル標準に準拠して使用できます。Google Workspace は FedRAMP High P-ATO を維持しているだけでなく、ISO 27017、27018、27001 にも準拠しており、American Institute of Certified Public Accountants(AICPA)の System and Organization Controls(SOC)基準に照らして監査を受けています。詳細については、Google Cloud のコンプライアンス状況をご覧ください。
承認された Google Workspace のセキュリティ境界全体が文書化され、セキュリティとプライバシー管理の FedRAMP High ベースラインに照らして評価および管理されています。FedRAMP Moderate のコントロール ベースラインは、FedRAMP High のコントロール ベースラインのサブセットです。したがって、Google Workspace の実装で FedRAMP Moderate ATO を取得している場合、FedRAMP High 認証を受けた Google Workspace サービスはどれでも、FedRAMP Moderate の認可境界内に含めることができます。詳細については、Google Workspace FedRAMP 構成ガイドをご覧ください。
Google Cloud VMware Engine(GCVE)FedRAMP High Readiness
FedRAMP プログラム管理オフィス(PMO)は 2023 年に、第三者評価機関(3PAO)による Google Cloud VMware Engine(GCVE)の高可用性評価レポート(RAR)の審査を完了しました。審査の結果、特に機能上の弱点は認められなかったため、GCVE は FedRAMP High Ready サービス(FedRAMP パッケージ ID FR2405153785)として承認されました。
FedRAMP High Ready の達成は、米国連邦政府に対して、GCVE が FedRAMP 認証を取得する可能性が高いことを示唆します。GCVE は、ISO 27017、27018、27001、PCI-DSS にも準拠しており、American Institute of Certified Public Accountants(AICPA)の System and Organization Controls(SOC)基準に照らして監査を受けています。
Google Cloud での FedRAMP Moderate および High ワークロードのホスティング
Google Cloud は、デフォルトでセキュリティが提供されるインフラストラクチャに投資しています。これにより、セキュリティ コントロールがあらかじめ構成された状態で組み込まれるため、従来の分離された政府のクラウド インフラストラクチャを使用しなくても、さまざまなコンプライアンス レベルを達成できるようになります。
前述のとおり、Google Cloud を使用して FedRAMP Moderate および FedRAMP High 環境にソリューションをデプロイすることを検討しているお客様は、Assured Workloads を使用する必要があります。Assured Workloads により、Google Cloudサービスを使用して、コンプライアンスとセキュリティの要件をサポートするために、機密性の高いワークロードを確実に保護し、構成することができます。Assured Workloads は、Google Cloud の既存のパブリック インフラストラクチャと異なる物理インフラストラクチャには依存しません。代わりに、コスト、スピード、イノベーションの面でメリットのあるソフトウェア定義コミュニティ クラウドを提供します。
Assured Workloads を通じて提供される FedRAMP 認定サービスでは、FedRAMP セキュリティ コントロールが実装され、Google Cloud の機能を使用して組織のニーズを満たすことができます。Assured Workloads では、Assured Workloads モニタリングを使用して FedRAMP ワークロードのコンプライアンス状態を可視化することもできます。このツールにより、コンプライアンス違反を特定して修正し、管理証明書を監査人に提供できます。
Assured Workloads は、Google Cloud FedRAMP High P-ATO コントロールに加えて、次の主要な FedRAMP High コントロールもデフォルトで実装しています。
- FedRAMP High の顧客データのロケーションを米国に限定するためのガードレールを設定
- テクニカル サポート スタッフは、米国在住の FedRAMP 認定担当者に限定
- 保存中と転送中のデータに FIPS-140 準拠の暗号化を適用
- 顧客データへの一時的なアクセス権を持つ担当者に人員アクセス制御を適用
- FedRAMP 準拠のプロダクトとサービスのみを許可
- FedRAMP High 要件をサポートする、対象範囲内のコンプライアンス境界を論理的に分類
Google Workspace での FedRAMP Moderate および High データのホスティング
Google Workspace は FedRAMP High P-ATO を維持しており、これを利用して FedRAMP Moderate および High データをホスティングできます。FedRAMP Moderate および FedRAMP High 環境に Google Workspace をデプロイすることを検討している場合、FedRAMP High 認証サービスを有効にする必要があります。Google Workspace でサービスを有効または無効にする方法をご確認ください。
また、Google Workspace Business エディションと Google Workspace Enterprise エディションには、セキュリティ コントロールと機能セットが組み込まれているため、FedRAMP High のコンプライアンス要件を満たし、独自の ATO で運営を管理できます。Google Workspace ユーザーは、データ リージョン ポリシーを使用して、FedRAMP のデータ所在地の制御を満たすように環境を構成できます。
FedRAMP Authority to Operate(ATO)の取得プロセス
政府データを Google Cloud でホスティングすることに関心をお持ちであれば、独自の Authority to Operate(ATO)を取得することも検討されているかもしれません。Google Cloud で ATO を取得するには、次のマイルストーンを考慮する必要があります。
- 対象範囲内のデータに FedRAMP Moderate と FedRAMP High のどちらが必要かを判断する。
- 対象範囲内の Google Cloud サービスの Assured Workloads を選択する。FedRAMP Moderate は無料枠に含まれ、FedRAMP High にはプレミアム サブスクリプションが必要です。
- Google Cloud 内の FedRAMP 境界を決定する。
- 共有責任モデル、顧客責任マトリックス、対象範囲内の Google Cloud サービス、FedRAMP ガイドラインに従ってワークロードを構成する。
- FedRAMP 認定の第三者評価機関(3PAO)による監査を受ける
- 審査と承認を受けるために連邦政府機関にパッケージを提出する。
ATO プロセスの詳細については、FedRAMP のウェブサイトをご覧ください。Google Cloud による FedRAMP ATO の追加サポートについては、Google Cloud コンサルティングのページをご覧ください。
よくある質問
Google Cloud は行政管理予算局の FedRAMP に関する覚書の草案にどのように対応していますか?
行政管理予算局が最近公開した FedRAMP に関する覚書の草案では、物理的な分離ではなく論理的なソフトウェア ベースの分離に基づく最新のクラウド アプローチが推奨されており、これは政府が正しい方向に進むための大きな一歩となります。Google Cloud はこのアプローチの草分け的存在であり、これによってお客様がスケーリングとイノベーションを安全に実現できると確信しています。
Google Cloud を使用するソリューションの FedRAMP コンプライアンスを取得するにはどうすればよいですか?
FedRAMP は、FedRAMP 承認済みのインフラストラクチャ、プラットフォーム、サービスを使用して、クラウド サービスからのさまざまなレベルの継承を可能にします。このコントロールと継承の初期分析により、Google Cloud にアプリケーションをデプロイするお客様としてどの程度のコンプライアンス責任を負うのかが最終的に決定されます。
たとえば、組織がアプリケーションのスタック全体の構築を希望している場合、承認機関による審査中に、お客様の責任 / 義務もさらに生じることになります。Platform as a Service または Software as a Service を使用すると、コンプライアンスの負担が軽減されることが予想されます。
FedRAMP 承認済みのサービスを選択すると、Google はサービス固有の構成ガイド、または Google Cloud コンサルティング組織の FedRAMP エキスパートとの直接的な関わりを通して、ソリューションの構成を支援できます。
Google は、どのように GovCloud サービスなしで FedRAMP 承認済みのサービスを提供するのですか?
Google は、商用パブリック クラウド サービスで FedRAMP High 認証を達成した最初のハイパースケールの商用クラウド プロバイダの一つであり、今日の市場で利用可能な FedRAMP サービスを提供する最大規模のプロバイダの一つでもあります。これまで、ハイパースケール プロバイダは FedRAMP High の要件を満たすために、「govclouds」を商用クラウド サービスから切り離してきました。このアプローチではコンプライアンスを実現できますが、このような個別の環境では、Google のクラウド インフラストラクチャが提供するすべてのメリットが得られるわけではありません。
Google Cloud の FedRAMP High 認証により、影響の大きなワークロードを処理する政府機関は、商業分野のお客様と同規模のテクノロジーをはるかに高速に導入し、Google 独自のパブリック クラウド インフラストラクチャ(機能とキャパシティの両方を含む)を活用できるようになります。Assured Workloads または Assured Controls を使用すると、機密性の高いワークロードを確実に保護して構成し、クラウドでのコンプライアンス要件とセキュリティ要件に対応できます。セキュリティ設定を選択すれば、Google が必要なクラウド コントロールを配置します。
FedRAMP High に準拠するよう Google Workspace を構成するにはどうすればよいですか?
FedRAMP で承認されている Google Workspace エディションのリストを以下に示します。FedRAMP High のセキュリティ コントロールに準拠するために Google Workspace をデプロイする方法については、構成ガイドをご覧ください。
FedRAMP ATO を取得するには Assured Workloads が必要ですか?
はい。FedRAMP Moderate または FedRAMP High の ATO を取得するには、Assured Workloads が必要です。Assured Workloads により、Google Cloud はお客様の連邦政府関連ワークロードを特定し、連邦規制の変更に合わせて技術的なガードレールを適用できます。Google Cloud は、Assured Workloads 内で実行されるワークロードに関して NIST 800-53 リビジョン 5 および将来のリリースで導入された要件をはじめとした、FedRAMP コンプライアンス要件に準拠することに取り組んでいます。
また、Assured Workloads は、Google Cloud がサポートとデータ所在地に関する FedRAMP High の厳しい要件を満たすための唯一の方法です。Assured Workloads は、独自の Assured Controls を持つ Google Workspace には適用されません。
Google Cloud から継承できる FedRAMP コントロールは何ですか?
政府関連のワークロードに Google Cloud を使用するメリットの 1 つは、必要な多くのコントロールが、Google の基盤となるインフラストラクチャと Assured Workloads にすでに組み込まれていることです。そのため、認証のために FedRAMP パッケージを連邦機関に提出するときは、Google Cloud によって管理されているコントロールの概要を示した Google の SSP も含める必要があります。セールスチームに連絡して、Google Cloud の SSP を入手してください(NDA が必要)。
FedRAMP は GovRAMP(旧称 StateRAMP)とどのように関係していますか?
GovRAMP は、米国州政府および地方自治体の調達担当者とセキュリティ担当者のニーズに対応するために 2021 年に設立されたサイバーセキュリティ プログラムです。FedRAMP と同様に、NIST 800-53 フレームワークに基づいて構築されており、部分的に FedRAMP をモデルにしています。また、GovRAMP は FedRAMP 認定の 3PAO を利用して評価を実施しています。Google Cloud は、Assured Workloads を介したデータ所在地およびサポート機能の強化により、GovRAMP 政府機関のお客様をサポートする準備ができています。
3PAO を確認するにはどうすればよいですか?
FedRAMP Marketplace では、対象となる 3PAO のリストが管理されています。
ペネトレーション テストを実施する必要はありますか?
Google Cloud の SSP は、ペネトレーション テスト用の Google 所有のリソースを対象としており、Google Cloud を使用することで、このコントロールを継承できます。3PAO 評価では、Google Cloud を使用して構築された独自の FedRAMP 環境のペネトレーション テストも実施する必要があります。
Google は FedRAMP のコンプライアンス プロセスを支援できますか?
はい。FedRAMP は、FedRAMP 承認済みのインフラストラクチャ、プラットフォーム、サービスを使用して、クラウド サービスからのさまざまなレベルの継承を可能にします。このコントロールと継承の初期分析により、Google Cloud にアプリケーションをデプロイするお客様としてどの程度のコンプライアンス責任を負うのかが最終的に決定されます。
たとえば、組織がアプリケーションのスタック全体の構築を希望している場合、承認機関による審査中に、お客様の責任 / 義務もさらに生じることになります。Platform as a Service または Software as a Service を使用すると、コンプライアンスの負担が軽減されることが予想されます。
FedRAMP 承認済みのサービスを選択すると、Google はサービス固有の構成ガイド、または Google Cloud コンサルティング組織の FedRAMP エキスパートとの直接的な関わりを通して、ソリューションの構成を支援できます。
脆弱な暗号化アルゴリズムである 3DES を削除するには、FedRAMP ワークロードをどのように設定すればよいですか?
NIST SP 800-131A Rev. 2「Transitioning the Use of Crypto Algorithms and Key Lengths」に沿って、3DES の使用中止を検討するお客様が増えています。Google Cloud は 3DES を使用していませんが、すべてのお客様に対応できるよう、Google エンドポイントでは引き続き 3DES の使用が可能になっています。Assured Workloads の組織ポリシー内で、TLS バージョン制限の組織ポリシーが、安全性の低い 3DES 暗号スイートの使用を軽減することで、Google Cloud のお客様のセキュリティを強化します。お客様のワークロードでこのポリシーが有効になっている場合、3DES 暗号化ベースの暗号スイートを使用するリクエストは、Google Cloud リソースへのアクセスが拒否されます。TLS バージョン制限の組織ポリシーは、FedRAMP Assured Workloads でデフォルトで適用されます。
対象範囲内のサービス
FedRAMP High の対象となる Google Cloud サービスと Google Workspace サービスは、FedRAMP と DoD のコンプライアンス範囲に記載されています。
関連サービス
NIST 800-53独立系第三者評価を受け、NIST 800-53 統制に準拠して動作する Google Cloud サービスをご覧ください。
ISO 27001ISO/IEC 27000 規格群は、情報の安全を保つうえで役立ちます。Google Cloud Platform と Google Workspace は ISO/IEC 27001 に準拠しています。
ISO 27017ISO/IEC 27017:2015 は、情報セキュリティ統制のガイドラインを示しています。Google Cloud Platform と Google Workspace は ISO/IEC 27017 に準拠しています。
ISO 27018ISO/IEC 27018 は、パブリック クラウドにおける PII の保護に関連しています。Google Cloud Platform と Google Workspace は ISO/IEC 27018 に準拠しています。
セキュリティのベスト プラクティスに関する情報
ベスト プラクティスを見るよくある問題を解決する
セキュリティのユースケース動画を見るパートナーの活用
セキュリティ パートナーを見る
