ジャンプ先
FedRAMP

FedRAMP

米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program: FedRAMP)。クラウド製品やクラウド サービスを対象として、セキュリティ評価、認可、継続的モニタリングの標準規格を規定する米国連邦政府のプログラムです。米国連邦議会は 2022 年、「政府機関によって使用される非機密情報を処理するクラウド コンピューティング プロダクトおよびサービスのセキュリティ評価と認証に対して、標準化された再利用可能なアプローチを提供する政府規模プログラム」として FedRAMP を成文化しました。

特定のオンプレミス プライベート クラウド以外のすべての連邦政府機関のクラウドのデプロイとサービスモデルは、FedRAMP 要件が定める適切なリスク影響レベル(Low、Moderate、または High)に準拠している必要があります。

FedRAMP で承認されたサービスを Google Cloud でホストすることに関心をお持ちのお客様は、FedRAMP の Moderate または High 影響レベルを遵守するために、Assured Workloads を使用する必要があります。詳しくは下記をご覧ください。

Google Cloud の FedRAMP コンプライアンス

FedRAMP 委員会(旧称: 合同認定委員会)は FedRAMP の主要な統治機関であり、国防総省(DoD)、国土安全保障省(DHS)、一般調達局(GSA)、および GSA 管理者と FedRAMP ディレクターによって決定されるその他の機関を含んでいます。

FedRAMP 委員会は、Google Cloud インフラストラクチャと特定の Google Cloud サービス パッケージ(CSO)に対して FedRAMP Moderate および FedRAMP High の Authority to Operate(ATO)を発行しました。Google Cloud は、FedRAMP の Moderate および High の承認を得るために追加のサービスを委員会に定期的に提出しています。

Google Cloud は、秘密保持契約(NDA)をすでに結んでいるお客様に FedRAMP コンプライアンスの追加の証拠を直接提供しています。NDA のもとで入手可能なドキュメントには、以下が含まれます。

  • FedRAMP 顧客責任マトリックス(CRM)
  • Google Cloud のシステム セキュリティ プラン(SSP)
  • ペネトレーション テストのレポートとその他のドキュメント

Google のセールスチームまたは Google Cloud の営業担当者が、拡張ドキュメントへのアクセス方法をご案内します。政府機関のお客様は、パッケージ リクエスト フォームを使用して、FedRAMP プログラム管理オフィスを通じて Google の FedRAMP パッケージをリクエストすることもできます。 

Google パートナーから購入するお客様の場合、購入に関する利用規約はパートナーから継承されます。

Google Workspace の FedRAMP コンプライアンス

Google Workspace は、クラウドのセキュリティとプライバシーに関するさまざまな米国連邦政府の基準および国際基準に準拠しています。Google Workspace は FedRAMP High 認証を維持しているだけでなく、ISO 270172701827001 にも準拠しており、American Institute of Certified Public Accountants(AICPA)の Service Organization Control(SOC)基準に照らして監査を受けています。

Google Cloud VMware Engine(GCVE)の FedRAMP High データ

FedRAMP の Program Management Office(PMO)は 2023 年後半、第三者評価機関(3PAO)による Google Cloud VMware Engine(GCVE)の High Readiness Assessment Report(RAR)審査を完了しました。審査の結果、特に機能上の弱点は認められなかったため、GCVE は FedRAMP High Ready サービス(FedRAMP パッケージ ID FR2405153785)として承認されました。

FedRAMP High Ready の達成は、米国連邦政府に対して、GCVE が FedRAMP 承認を取得する可能性が高いことを示唆します。GCVE は、ISO 270172701827001PCI- DSS にも準拠しており、American Institute of Certified Public Accountants(AICPA)の Service Organization Control(SOC)基準に照らして監査を受けています。

Google Cloud での FedRAMP Moderate および High ワークロードのホスティング

Google Cloud は、インフラストラクチャについてデフォルトで提供されるセキュリティに投資しています。これにより、セキュリティ コントロールがあらかじめ構成された状態で組み込まれるため、お客様は従来の分離された政府クラウド アーキテクチャを使用せずに、さまざまなコンプライアンス レベルを達成できるようになります。

Google Cloud を使用して FedRAMP Moderate および High 環境にソリューションをデプロイすることを検討しているお客様は、Assured Workloads を使用する必要があります。Assured Workloads では、Google Cloud サービスを使用して、機密性の高いワークロードを確実に保護して構成し、コンプライアンスとセキュリティの要件に対応できます。Assured Workloads は、パブリック クラウド データセンターと異なる物理インフラストラクチャには依存せず、代わりに、コスト、スピード、イノベーションの面でメリットのあるソフトウェア定義コミュニティ クラウドを提供します。

Assured Workloads を通じて提供される FedRAMP 認定サービスでは、FedRAMP セキュリティ コントロールが実装され、お客様は Google Cloud の機能を使用して組織のニーズを満たすことができます。Assured Workloads では、Assured Workloads モニタリングを使用して FedRAMP ワークロードのコンプライアンス状態を可視化することもできます。このツールにより、コンプライアンス違反を特定して修正し、コンプライアンス状態の管理証明書を監査人に提供することができます。

Assured Workloads は、Google Cloud インフラストラクチャの FedRAMP High ATO を活用したコントロールに加えて、FedRAMP High の政府データを扱うお客様向けに、次の主要な FedRAMP High コントロールもデフォルトで実装しています。

  1. FedRAMP High の顧客データのロケーションを米国に制限するためのガードレールを設定
  2. テクニカル サポート スタッフを米国内の FedRAMP 認定担当者に制限
  3. 保存中と転送中のデータに FIPS-140-2 準拠の暗号化の使用を必須化
  4. 顧客データに日常的にアクセスする担当者を対象に、FedRAMP に必要な人員アクセス制御を実装
  5. デベロッパーが FedRAMP 準拠のプロダクトやサービスのみを使用するように制限
  6. FedRAMP の Moderate 要件と High 要件をサポートする、対象範囲内のコンプライアンス境界を論理的に分類

Google Workspace での FedRAMP Moderate および High データのホスティング

Google Workspace は FedRAMP High ATO を維持しており、お客様はこれを利用して FedRAMP Moderate および High データをホスティングできます。FedRAMP Moderate および High 環境に Google Workspace をデプロイすることを検討しているお客様は、それぞれの認証要件を満たす FedRAMP 認証サービスを有効にする必要があります。Google Workspace でサービスを有効または無効にする方法をご確認ください。 

また、Google Workspace Business エディションと Google Workspace Enterprise エディションには、セキュリティ コントロールと機能セットが組み込まれているため、お客様は FedRAMP High の要件を満たして、独自の ATO で運営を管理できます。Google Workspace ユーザーは、データ リージョン ポリシーを使用して、FedRAMP のデータ所在地コントロール要件を満たすように環境を構成できます。

FedRAMP Authority to Operate(ATO)の取得プロセス

政府データを Google Cloud でホスティングすることに関心をお持ちのお客様は、独自の Authority to Operate(ATO)を取得することも検討している可能性があります。組織は、Google Cloud で ATO を取得するために、次のマイルストーンを考慮する必要があります。

  • 対象範囲内のデータに FedRAMP Moderate と FedRAMP High のどちらが必要かを判断する
  • 対象範囲内の Google Cloud サービスの Assured Workloads を選択する(FedRAMP Moderate は無料枠、FedRAMP High にはプレミアム サブスクリプションが必要)
  • Google Cloud 内の FedRAMP 境界を決定する
  • 共有責任モデル、顧客責任マトリックス、対象範囲内の Google Cloud サービス、FedRAMP ガイドラインに従ってワークロードを構成する
  • 第三者評価機関(3PAO)による監査を受ける
  • 審査と承認を受けるために FedRAMP 委員会または連邦政府機関にパッケージを提出する

ATO プロセスの詳細については、FedRAMP のウェブサイトをご覧ください。 Google Cloud による FedRAMP ATO の追加サポートについては、Google Cloud コンサルティングのページをご覧ください。

よくある質問

行政管理予算局が最近公開した FedRAMP に関する覚書の草案では、物理的な分離ではなく論理的なソフトウェア ベースの分離に基づく最新のクラウド アプローチが推奨されており、これは政府が正しい方向に進むための大きな一歩となります。Google Cloud はこのアプローチの草分け的存在であり、これによってお客様がスケーリングとイノベーションを安全に実現できると確信しています。

FedRAMP は、FedRAMP 承認済みのインフラストラクチャ、プラットフォーム、サービスを使用して、クラウド サービス プロバイダ(CSP)のさまざまなレベルの継承を可能にします。このコントロールと継承の初期分析により、CSP としてどの程度のコンプライアンス責任を負うのかが最終的に決定されます。

たとえば、組織がアプリケーションのスタック全体の構築を希望している場合、承認機関による審査中に、お客様の責任 / 義務もさらに生じることになります。Platform as a Service または Software as a Service を使用すると、コンプライアンスの負担が軽減されることが予想されます。

FedRAMP 承認済みのサービスを選択すると、Google はサービス固有の構成ガイド、または Google Cloud コンサルティング組織の FedRAMP エキスパートとの直接的な関わりを通して、ソリューションの構成を支援できます。

Google は、商用パブリック クラウド サービスで FedRAMP High を達成した最初のハイパースケールの商用クラウド プロバイダの一つであり、今日の市場で利用可能な FedRAMP サービスを提供する最大規模のプロバイダの一つでもあります。これまで、ハイパースケール プロバイダは FedRAMP High の要件を満たすために、「govclouds」を商用クラウドから切り離してきました。このアプローチではコンプライアンスを実現できますが、このような個別の環境では、Google のクラウド インフラストラクチャが提供するすべてのメリットが得られるわけではありません。

Google Cloud の FedRAMP High 認証により、影響の大きなワークロードを処理する政府機関は、商業分野のお客様と同規模のテクノロジーをはるかに高速に導入し、Google 独自のパブリック クラウド インフラストラクチャ(機能とキャパシティの両方を含む)を活用できるようになります。Assured Workloads または Assured Controls を使用すると、機密性の高いワークロードを確実に保護して構成し、クラウドでのコンプライアンス要件とセキュリティ要件に対応できます。セキュリティ設定を選択すれば、Google が必要なクラウド コントロールを配置します。

FedRAMP で承認されている Google Workspace エディションのリストを以下に示します。FedRAMP High のセキュリティ コントロールに準拠するために Google Workspace をデプロイする方法については、構成ガイドをご覧ください。

はい。FedRAMP Moderate または FedRAMP High の ATO を取得するには、Assured Workloads が必要です。Assured Workloads により、Google Cloud はお客様の連邦政府関連ワークロードを特定し、連邦規制の変更に合わせて技術的なガードレールを適用できるようになります。Google Cloud は、Assured Workloads 内で実行されるワークロードに関して NIST 800-53 リビジョン 5 および将来のリリースで導入された要件をはじめとした、FedRAMP コンプライアンス要件に継続的に準拠することに取り組んでいます。

また、Assured Workloads は、Google Cloud がサポートとデータ所在地に関する FedRAMP High の厳しい要件を満たすための唯一の方法です。Assured Workloads は、独自のコントロールを持つ Google Workspace には適用されません。

政府関連のワークロードに Google Cloud を使用するメリットの 1 つは、必要な多くのコントロールが、Google の基盤となるインフラストラクチャと Assured Workloads にすでに組み込まれていることです。そのため、認証のために FedRAMP パッケージを FedRAMP 委員会に提出するときは、Google Cloud によって管理されているコントロールの概要を示した Google の SSP も含める必要があります。セールスチームに連絡して、Google Cloud の SSP を入手してください(NDA が必要)。

StateRAMP(State Risk and Authorization Management Program)グループは、StateRAMP 認定を確立した非営利のメンバーシップ組織です。FedRAMP と同様に、NIST 800-53 フレームワークに基づいて構築されており、FedRAMP に基づいて一部モデル化されています。また、StateRAMP は FedRAMP 認定の 3PAO を利用して評価を実施しています。Google Cloud は、Assured Workloads を介したデータ所在地およびサポート機能の強化により、StateRAMP 政府機関のお客様をサポートする準備ができています。

FedRAMP Marketplace では、対象となる 3PAO のリストが管理されています。

Google Cloud の SSP は、ペネトレーション テスト用の Google 所有のリソースを対象としており、お客様は Google Cloud を使用することで、このコントロールを継承できます。3PAO 評価では、Google Cloud を使用して構築されたお客様独自の FedRAMP 環境のペネトレーション テストも実施する必要があります。

FedRAMP は、FedRAMP 承認済みのインフラストラクチャ、プラットフォーム、サービスを使用して、クラウド サービス プロバイダ(CSP)のさまざまなレベルの継承を可能にします。このコントロールと継承の初期分析により、CSP としてどの程度のコンプライアンス責任を負うのかが最終的に決定されます。

たとえば、組織がアプリケーションのスタック全体の構築を希望している場合、承認機関による審査中に、お客様の責任 / 義務もさらに生じることになります。Platform as a Service または Software as a Service を使用すると、コンプライアンスの負担が軽減されることが予想されます。

FedRAMP 承認済みのサービスを選択すると、Google はサービス固有の構成ガイド、または Google Cloud コンサルティング組織の FedRAMP エキスパートとの直接的な関わりを通して、ソリューションの構成を支援できます。

Assured Workloads は、お客様がコンプライアンス レジームを満たすために特定のプロジェクト構成を有効にするために使用できる Google Cloud の機能です。 お客様は、Assured Workloads を使用せずに、コンプライアンス要件を満たすように組織のポリシーを自分で設定することもできます。プロダクトは Assured Workloads と個別に統合され、組織のポリシーを強制的に適用します。

Google Cloud コンソールは、お客様によるデプロイを支援する機能を備えた、シンプルなウェブベースのユーザー インターフェースです。これはサービスではなく、Google Cloud インフラストラクチャ上に構築されたフレームワークであり、お客様に Google Cloud アセットを管理するためのインターフェースを提供します。お客様は Cloud コンソールで個々の Google Cloud サービスの API を直接操作し、サービスの API を使用して UI をレンダリングします。Cloud コンソール自体には、お客様が操作する API はありません。代わりに、お客様は個々の Google Cloud サービスの API を直接操作し、Cloud コンソールはこれらのサービスの API を使用して UI をレンダリングします

対象範囲内のサービス

FedRAMP パッケージ ID FR1805751477

*FedRAMP High の対象となるすべての Google Cloud サービスは、FedRAMP Moderate の対象ともなります。

*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。

App Engine

Assured Workloads

BigQuery

Cloud Bigtable

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Key Management Service

Cloud Logging

Cloud Spanner

Cloud SQL

Cloud Storage

Compute Engine

Container Registry

Dataflow

Dataproc

Firestore

Google Kubernetes Engine

管理コンソール(Admin SDK、Directory Sync を含む)

Identity & Access Management(IAM)

Memorystore for Memcache

Memorystore for Redis

Persistent Disk

Pub/Sub

Sensitive Data Protection(Cloud Data Loss Prevention を含む)

Virtual Private Cloud

FedRAMP パッケージ ID FR1805751477

*FedRAMP High の対象となるすべての Google Cloud サービスは、FedRAMP Moderate の対象ともなります。

*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。

Access Context Manager

アクセスの透明性

AI Platform Training and Prediction(旧称 Cloud Machine Learning Engine)

Anthos Identity Service

Apigee

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video Intelligence

AutoML Vision

Beyondcorp Enterprise

BigQuery Data Transfer Service

Binary Authorization

Care Studio(Cloud Healthcare Search)

CCAI Insights

Certificate Authority Service

Chronicle SIEM(旧称 Chronicle Security)

Cloud Billing API

Cloud Build

Cloud CDN

Cloud Composer

Cloud Data Fusion

Cloud Deployment Manager

Cloud Endpoints

Cloud Error Reporting

Cloud External Key Manager

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare API

Cloud IDS

Cloud Interconnect

Cloud Life Sciences(以前の Google Genomics)

Cloud Load Balancing

Cloud Monitoring

Cloud NAT(ネットワーク アドレス変換)

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run(フルマネージド)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace(旧称 Stackdriver Trace)

Cloud Translation

Cloud Vision API

Cloud VPN

構成管理

交流

Contact Center AI(CCAI)

Data Catalog

Database Migration Service

Datalab

Datastore

Datastream

Dialogflow

Document AI

Earth Engine

Filestore(基本 HDD ティアと基本 SSD ティア)

Game Servers

GKE Hub

Google Cloud アプリ

Google Cloud Armor

Google Cloud CLI

Google Cloud コンソール

Google Cloud Marketplace

Google Cloud Identity-Aware Proxy

Identity Platform

IoT Core

Key Access Justifications(KAJ)

Looker Studio(旧称 Google データポータル、Pro を含む)

Network Connectivity Center

Network Service Tiers

Resource Manager API

Secret Manager

Security Command Center(Web Security Scanner を含む)(旧称 Cloud Security Sanner)

Sensitive Data Protection(Cloud Data Loss Prevention を含む)

Service Directory

Service Infrastructure(旧称 Service Control、Service Management API と Service Consumer Management API を含む)

サービス メッシュ

Speech-to-Text

Storage Transfer Service

Talent Solution

Text-to-Speech

Traffic Director

Video Intelligence API

Vertex AI Workbench User Managed Notebooks(旧称 AI Platform Notebooks)

VPC Service Controls

Web Risk API

Workflows

Workforce Identity 連携

*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。

Google Workspace Business Plus

Google Workspace Business Standard

Google Workspace Enterprise Plus

Google Workspace Enterprise Standard

*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。

Google Workspace Business Starter

Google Workspace Enterprise Essentials

Google Workspace Enterprise Plus

Google Workspace for Education

Google Workspace for Education Fundamentals

Google Workspace for Education Plus

Google Workspace for Education Standard

Google Workspace for Government

Google Workspace for Nonprofits

Google Workspace Frontline エディション

Teaching and Learning Upgrade

FedRAMP パッケージ ID: F1206081364

*管理コンソールと Cloud Identity は Google サービス パッケージの一部になりました(FR1805751477)。

*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。

カレンダー

ドキュメント

ドライブ

フォーム

Gmail

Google Chat

Google Meet

Keep

新しい Google サイト

スプレッドシート

スライド

Vault

Google Workspace サービス(FedRAMP Moderate)

FedRAMP パッケージ ID: F1206081364

*管理コンソールと Cloud Identity は Google サービス パッケージの一部になりました(FR1805751477)。

*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。

Android および Chrome デバイス管理

Apps Activity API

Chrome Sync(Google Workspace for Education ドメインのみ)

Classroom

Cloud Search(3P を含む)

連絡先

Calendar API

Contacts API

ドキュメントの API

図形描画

Drive REST API(Documents List API の後継)

Gmail REST API(Email Migration API の後継)

Google Meet ライブ ストリーム

Google ToDo リスト

Google Voice

Google Workspace セキュリティ センター(Enterprise Plus および Google Workspace for Education Plus ドメインのみ)

ビジネス向け Google グループ

Jamboard

セキュア LDAP

Sheets API

Sites API

Tasks API

FedRAMP High の対象となるすべての Google Cloud リージョンは、FedRAMP Moderate の対象ともなります。

オレゴン(us-west1)- FedRAMP High

ロサンゼルス(us-west2)- FedRAMP High

ソルトレイクシティ(us-west3)- FedRAMP High

ラスベガス(us-west4)- FedRAMP High

アイオワ(us-central1)- FedRAMP High

オクラホマ(us-central2)- FedRAMP High

サウスカロライナ(us-east1)- FedRAMP High

北バージニア(us-east4)- FedRAMP High

コロンバス(us-east5)- FedRAMP High

ダラス(us-south1)- FedRAMP High

モントリオール(northamerica-northeast1)- FedRAMP Moderate

サンパウロ(southamerica-east1)- FedRAMP Moderate

ベルギー(europe-west1)- FedRAMP Moderate

ロンドン(europe-west2)- FedRAMP Moderate

フランクフルト(europe-west3)- FedRAMP Moderate

オランダ(europe-west4)- FedRAMP Moderate

フィンランド(europe-north1)- FedRAMP Moderate

ムンバイ(asia-south1)- FedRAMP Moderate

シンガポール(asia-southeast1)- FedRAMP Moderate

台湾(asia-east1)- FedRAMP Moderate

東京(asia-northeast1)- FedRAMP Moderate

シドニー(australia-southeast1)- FedRAMP Moderate

チューリッヒ(europe-west6)- FedRAMP Moderate

ワルシャワ(europe-central2)- FedRAMP Moderate

ジャカルタ(asia-southeast2)- FedRAMP Moderate

大阪(asia-northeast2)- FedRAMP Moderate

ソウル(asia-northeast3)- FedRAMP Moderate

関連サービス

NIST 800-53
NIST 800-53
独立系第三者評価を受け、NIST 800-53 統制に準拠して動作する Google Cloud サービスをご覧ください。
ISO 27001
ISO 27001
ISO/IEC 27000 規格群は、情報の安全を保つうえで役立ちます。Google Cloud Platform と Google Workspace は ISO/IEC 27001 に準拠しています。
ISO 27017
ISO 27017
ISO/IEC 27017:2015 は、情報セキュリティ統制のガイドラインを示しています。Google Cloud Platform と Google Workspace は ISO/IEC 27017 に準拠しています。
ISO 27018
ISO 27018
ISO/IEC 27018 は、パブリック クラウドにおける PII の保護に関連しています。Google Cloud Platform と Google Workspace は ISO/IEC 27018 に準拠しています。

次のステップ

$300 分の無料クレジットと 20 種類以上の無料枠プロダクトを活用して Google Cloud での構築を開始しましょう。

無料で開始

次のステップ

$300 分の無料クレジットと 20 種類以上の無料枠プロダクトを活用して Google Cloud での構築を開始しましょう。

無料で開始