FedRAMP
米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program: FedRAMP)。クラウド製品やクラウド サービスを対象として、セキュリティ評価、認可、継続的モニタリングの標準規格を規定する米国連邦政府のプログラムです。米国連邦議会は 2022 年、「政府機関によって使用される非機密情報を処理するクラウド コンピューティング プロダクトおよびサービスのセキュリティ評価と認証に対して、標準化された再利用可能なアプローチを提供する政府規模プログラム」として FedRAMP を成文化しました。
特定のオンプレミス プライベート クラウド以外のすべての連邦政府機関のクラウドのデプロイとサービスモデルは、FedRAMP 要件が定める適切なリスク影響レベル(Low、Moderate、または High)に準拠している必要があります。
FedRAMP Moderate または High レベルのホスティングに対応する Google Cloud サービスの利用を検討されているお客様は、Assured Workloads と Assured Support(High のみ)を使用する必要があります。
Google Cloud の FedRAMP コンプライアンス
FedRAMP 委員会(旧称: 合同認定委員会)は FedRAMP の主要な統治機関であり、国防総省(DoD)、国土安全保障省(DHS)、一般調達局(GSA)、および GSA 管理者と FedRAMP ディレクターによって決定されるその他の機関を含んでいます。
FedRAMP 委員会は、Google Cloud インフラストラクチャと特定の Google Cloud サービス パッケージ(CSO)に対して FedRAMP Moderate および FedRAMP High の Authority to Operate(ATO)を発行しました。Google Cloud は、FedRAMP の Moderate および High の承認を得るために追加のサービスを委員会に定期的に提出しています。
Google Cloud は、秘密保持契約(NDA)を締結しているお客様に、次の FedRAMP コンプライアンスに関する追加ドキュメントを提供できます。
- FedRAMP 顧客責任マトリックス(CRM)
- Google Cloud のシステム セキュリティ プラン(SSP)
- ペネトレーション テストのレポートとその他のドキュメント
Google のセールスチームまたは Google Cloud の営業担当者が、このドキュメントへのアクセス方法をご案内します。政府機関のお客様は、パッケージ リクエスト フォームを使用して、FedRAMP プログラム管理オフィスを通じて Google の FedRAMP パッケージをリクエストすることもできます。
Google パートナーから購入するお客様の場合、購入に関する利用規約はパートナーから継承されます。
Google Workspace の FedRAMP コンプライアンス
お客様は Google Workspace を、クラウドのセキュリティとプライバシーに関する米国連邦政府の各種標準やグローバル標準に準拠して使用できます。Google Workspace は FedRAMP High 認証を維持しているだけでなく、ISO 27017、27018、27001 にも準拠しており、American Institute of Certified Public Accountants(AICPA)の Service Organization Control(SOC)基準に照らして監査を受けています。
Google Cloud VMware Engine(GCVE)FedRAMP High Readiness
FedRAMP プログラム管理オフィス(PMO)は 2023 年に、第三者評価機関(3PAO)による Google Cloud VMware Engine(GCVE)の高可用性評価レポート(RAR)の審査を完了しました。審査の結果、特に機能上の弱点は認められなかったため、GCVE は FedRAMP High Ready サービス(FedRAMP パッケージ ID FR2405153785)として承認されました。
FedRAMP High Ready の達成は、米国連邦政府に対して、GCVE が FedRAMP 認証を取得する可能性が高いことを示唆します。GCVE は、ISO 27017、27018、27001、PCI-DSS にも準拠しており、American Institute of Certified Public Accountants(AICPA)の Service Organization Control(SOC)基準に照らして監査を受けています。
Google Cloud での FedRAMP Moderate および High ワークロードのホスティング
Google Cloud は、デフォルトでセキュリティが提供されるインフラストラクチャに投資しています。これにより、セキュリティ コントロールがあらかじめ構成された状態で組み込まれるため、お客様は従来の分離された政府クラウド アーキテクチャを使用しなくても、さまざまなコンプライアンス レベルを達成できるようになります。
Google Cloud を使用して FedRAMP Moderate および High 環境にソリューションをデプロイすることを検討しているお客様は、Assured Workloads を使用する必要があります。Assured Workloads では、Google Cloud サービスを使用して、機密性の高いワークロードを確実に保護して構成し、コンプライアンスとセキュリティの要件に対応できます。Assured Workloads は、パブリック クラウド データセンターと異なる物理インフラストラクチャには依存しません。代わりに、コスト、スピード、イノベーションの面でメリットのあるソフトウェア定義コミュニティ クラウドを提供します。
Assured Workloads を通じて提供される FedRAMP 認定サービスでは、FedRAMP セキュリティ コントロールが実装され、お客様は Google Cloud の機能を使用して組織のニーズを満たすことができます。Assured Workloads では、Assured Workloads モニタリングを使用して FedRAMP ワークロードのコンプライアンス状態を可視化することもできます。このツールにより、コンプライアンス違反を特定して修正し、コンプライアンス状態の管理証明書を監査人に提供することができます。
Assured Workloads は、Google Cloud インフラストラクチャの FedRAMP High ATO を活用したコントロールに加えて、FedRAMP High の政府データを扱うお客様向けに、次の主要な FedRAMP High コントロールもデフォルトで実装しています。
- FedRAMP High の顧客データのロケーションを米国に限定するためのガードレールを設定
- テクニカル サポート スタッフは、米国在住の FedRAMP 認定担当者に限定
- 保存中と転送中のデータに FIPS-140-2 準拠の暗号化を適用
- 顧客データに日常的にアクセスする担当者に人員アクセス制御を適用
- FedRAMP 準拠のプロダクトとサービスのみを許可
- FedRAMP の Moderate 要件と High 要件をサポートする、対象範囲内のコンプライアンス境界を論理的に分類
Google Workspace での FedRAMP Moderate および High データのホスティング
Google Workspace は FedRAMP High ATO を維持しており、お客様はこれを利用して FedRAMP Moderate および High データをホスティングできます。FedRAMP Moderate および High 環境に Google Workspace をデプロイすることを検討しているお客様は、それぞれの認証要件を満たす FedRAMP 認証サービスを有効にする必要があります。Google Workspace でサービスを有効または無効にする方法をご確認ください。
また、Google Workspace Business エディションと Google Workspace Enterprise エディションには、セキュリティ コントロールと機能セットが組み込まれているため、お客様は FedRAMP High の要件を満たして、独自の ATO で運営を管理できます。Google Workspace ユーザーは、データ リージョン ポリシーを使用して、FedRAMP のデータ所在地コントロール要件を満たすように環境を構成できます。
FedRAMP Authority to Operate(ATO)の取得プロセス
政府データを Google Cloud でホスティングすることに関心をお持ちのお客様は、独自の Authority to Operate(ATO)を取得することも検討している可能性があります。組織は、Google Cloud で ATO を取得するために、次のマイルストーンを考慮する必要があります。
- 対象範囲内のデータに FedRAMP Moderate と FedRAMP High のどちらが必要かを判断する
- 対象範囲内の Google Cloud サービスの Assured Workloads を選択する(FedRAMP Moderate は無料枠に含まれ、FedRAMP High にはプレミアム サブスクリプションが必要)
- Google Cloud 内の FedRAMP 境界を決定する
- 共有責任モデル、顧客責任マトリックス、対象範囲内の Google Cloud サービス、FedRAMP ガイドラインに従ってワークロードを構成する
- 第三者評価機関(3PAO)による監査を受ける
- 審査と承認を受けるために FedRAMP 委員会または連邦政府機関にパッケージを提出する
ATO プロセスの詳細については、FedRAMP のウェブサイトをご覧ください。Google Cloud による FedRAMP ATO の追加サポートについては、Google Cloud コンサルティングのページをご覧ください。
よくある質問
Google Cloud は行政管理予算局の FedRAMP に関する覚書の草案にどのように対応していますか?
行政管理予算局が最近公開した FedRAMP に関する覚書の草案では、物理的な分離ではなく論理的なソフトウェア ベースの分離に基づく最新のクラウド アプローチが推奨されており、これは政府が正しい方向に進むための大きな一歩となります。Google Cloud はこのアプローチの草分け的存在であり、これによってお客様がスケーリングとイノベーションを安全に実現できると確信しています。
Google Cloud を使用するソリューションの FedRAMP コンプライアンスを取得するにはどうすればよいですか?
FedRAMP は、FedRAMP 承認済みのインフラストラクチャ、プラットフォーム、サービスを使用して、クラウド サービス プロバイダ(CSP)のさまざまなレベルの継承を可能にします。このコントロールと継承の初期分析により、CSP としてどの程度のコンプライアンス責任を負うのかが最終的に決定されます。
たとえば、組織がアプリケーションのスタック全体の構築を希望している場合、承認機関による審査中に、お客様の責任 / 義務もさらに生じることになります。Platform as a Service または Software as a Service を使用すると、コンプライアンスの負担が軽減されることが予想されます。
FedRAMP 承認済みのサービスを選択すると、Google はサービス固有の構成ガイド、または Google Cloud コンサルティング組織の FedRAMP エキスパートとの直接的な関わりを通して、ソリューションの構成を支援できます。
Google は、どのように GovCloud サービスなしで FedRAMP 承認済みのサービスを提供するのですか?
Google は、商用パブリック クラウド サービスで FedRAMP High を達成した最初のハイパースケールの商用クラウド プロバイダの一つであり、今日の市場で利用可能な FedRAMP サービスを提供する最大規模のプロバイダの一つでもあります。これまで、ハイパースケール プロバイダは FedRAMP High の要件を満たすために、「govclouds」を商用クラウド サービスから切り離してきました。このアプローチではコンプライアンスを実現できますが、このような個別の環境では、Google のクラウド インフラストラクチャが提供するすべてのメリットが得られるわけではありません。
Google Cloud の FedRAMP High 認証により、影響の大きなワークロードを処理する政府機関は、商業分野のお客様と同規模のテクノロジーをはるかに高速に導入し、Google 独自のパブリック クラウド インフラストラクチャ(機能とキャパシティの両方を含む)を活用できるようになります。Assured Workloads または Assured Controls を使用すると、機密性の高いワークロードを確実に保護して構成し、クラウドでのコンプライアンス要件とセキュリティ要件に対応できます。セキュリティ設定を選択すれば、Google が必要なクラウド コントロールを配置します。
FedRAMP High に準拠するよう Google Workspace を構成するにはどうすればよいですか?
FedRAMP で承認されている Google Workspace エディションのリストを以下に示します。FedRAMP High のセキュリティ コントロールに準拠するために Google Workspace をデプロイする方法については、構成ガイドをご覧ください。
FedRAMP ATO を取得するには Assured Workloads が必要ですか?
はい。FedRAMP Moderate または FedRAMP High の ATO を取得するには、Assured Workloads が必要です。Assured Workloads により、Google Cloud はお客様の連邦政府関連ワークロードを特定し、連邦規制の変更に合わせて技術的なガードレールを適用できます。Google Cloud は、Assured Workloads 内で実行されるワークロードに関して NIST 800-53 リビジョン 5 および将来のリリースで導入された要件をはじめとした、FedRAMP コンプライアンス要件に継続的に準拠することに取り組んでいます。
また、Assured Workloads は、Google Cloud がサポートとデータ所在地に関する FedRAMP High の厳しい要件を満たすための唯一の方法です。Assured Workloads は、独自のコントロールを持つ Google Workspace には適用されません。
Google Cloud から継承できる FedRAMP コントロールは何ですか?
政府関連のワークロードに Google Cloud を使用するメリットの 1 つは、必要な多くのコントロールが、Google の基盤となるインフラストラクチャと Assured Workloads にすでに組み込まれていることです。そのため、認証のために FedRAMP パッケージを FedRAMP 委員会に提出するときは、Google Cloud によって管理されているコントロールの概要を示した Google の SSP も含める必要があります。セールスチームに連絡して、Google Cloud の SSP を入手してください(NDA が必要)。
これは StateRAMP とどのように関係しますか?
StateRAMP(State Risk and Authorization Management Program)グループは、StateRAMP 認定を確立した非営利のメンバーシップ組織です。FedRAMP と同様に、NIST 800-53 フレームワークに基づいて構築されており、部分的に FedRAMP をモデルにしています。また、StateRAMP は FedRAMP 認定の 3PAO を利用して評価を実施しています。Google Cloud は、Assured Workloads を介したデータ所在地およびサポート機能の強化により、StateRAMP 政府機関のお客様をサポートする準備ができています。
3PAO を確認するにはどうすればよいですか?
FedRAMP Marketplace では、対象となる 3PAO のリストが管理されています。
ペネトレーション テストを実施する必要はありますか?
Google Cloud の SSP は、ペネトレーション テスト用の Google 所有のリソースを対象としており、お客様は Google Cloud を使用することで、このコントロールを継承できます。3PAO 評価では、Google Cloud を使用して構築されたお客様独自の FedRAMP 環境のペネトレーション テストも実施する必要があります。
Google は FedRAMP のコンプライアンス プロセスを支援できますか?
FedRAMP は、FedRAMP 承認済みのインフラストラクチャ、プラットフォーム、サービスを使用して、クラウド サービス プロバイダ(CSP)のさまざまなレベルの継承を可能にします。このコントロールと継承の初期分析により、CSP としてどの程度のコンプライアンス責任を負うのかが最終的に決定されます。
たとえば、組織がアプリケーションのスタック全体の構築を希望している場合、承認機関による審査中に、お客様の責任 / 義務もさらに生じることになります。Platform as a Service または Software as a Service を使用すると、コンプライアンスの負担が軽減されることが予想されます。
FedRAMP 承認済みのサービスを選択すると、Google はサービス固有の構成ガイド、または Google Cloud コンサルティング組織の FedRAMP エキスパートとの直接的な関わりを通して、ソリューションの構成を支援できます。
Assured Workloads と Google Cloud コンソールは承認されていますか?
Assured Workloads は、コンプライアンス レジームを満たす目的でお客様が特定のプロジェクト構成を有効にするために使用できる Google Cloud の機能です。お客様は、Assured Workloads を使用せずに、コンプライアンス要件を満たすように組織のポリシーを自分で設定することもできます。プロダクトは Assured Workloads と個別に統合され、組織のポリシーを強制的に適用します。
Google Cloud コンソールはシンプルなウェブベースのユーザー インターフェースであり、お客様のデプロイを支援する機能が含まれています。これはサービスではなく、Google Cloud インフラストラクチャ上に構築されたフレームワークであり、お客様に Google Cloud アセットを管理するためのインターフェースを提供します。お客様は Cloud コンソールで個々の Google Cloud サービスの API を直接操作し、サービスの API を使用して UI をレンダリングします。Cloud コンソール自体には、お客様が操作する API はありません。代わりに、お客様は個々の Google Cloud サービスの API を直接操作し、Cloud コンソールはこれらのサービスの API を使用して UI をレンダリングします
脆弱な暗号化アルゴリズムである 3DES を削除するには、FedRAMP ワークロードをどのように設定すればよいですか?
NIST SP 800-131A Rev. 2「Transitioning the Use of Crypto Algorithms and Key Lengths」に沿って、3DES の使用中止を検討するお客様が増えています。Google Cloud は 3DES を使用していませんが、すべてのお客様に対応できるよう、Google エンドポイントでは引き続き 3DES の使用が可能になっています。FedRAMP ソリューションで 3DES を削除する必要がある場合は、Assured Workloads 環境からの削除についてサポートにお問い合わせください。
対象範囲内のサービス
FedRAMP High の対象となる Google Cloud サービス
FedRAMP パッケージ ID FR1805751477
*FedRAMP High の対象となるすべての Google Cloud サービスは、FedRAMP Moderate の対象ともなります。
*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。
管理コンソール(Admin SDK、Directory Sync を含む)
AI Platform Neural Architecture Search(NAS)
AI Platform Training and Prediction(旧称 Cloud Machine Learning Engine)
BigQuery Data Transfer Service
Cloud External Key Manager(Cloud EKM)
Cloud Life Sciences(旧称 Google Genomics)
Cloud Load Balancing (L7 ILB/XLB)
Cloud Load Balancing(ネットワーク ロード バランシング)
Cloud Logging(Error Reporting を含む)
Cloud Profiler(旧称 Stackdriver Profiler)
Cloud Trace(旧称 Stackdriver Trace)
Filestore(基本 HDD ティアと基本 SSD ティア)
Google Cloud Identity-Aware Proxy
Google Security Operations SOAR
Identity and Access Management(IAM)
Key Access Justifications(KAJ)
Looker Studio(旧称 Google データポータル、Pro を含む)
Security Command Center Premium
Sensitive Data Protection(Cloud Data Loss Prevention を含む)
Vertex AI Workbench User Managed Notebooks(旧称 AI Platform Notebooks)
JAB で FedRAMP High を審査中の Google Cloud サービス
FedRAMP Moderate の対象となる Google Cloud サービス
FedRAMP パッケージ ID FR1805751477
*FedRAMP High の対象となるすべての Google Cloud サービスは、FedRAMP Moderate の対象ともなります。
*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。
AI Platform Training and Prediction(旧称 Cloud Machine Learning Engine)
BigQuery Data Transfer Service
Care Studio(Cloud Healthcare Search)
Cloud Life Sciences(旧称 Google Genomics)
Cloud Trace(旧称 Stackdriver Trace)
Filestore(基本 HDD ティアと基本 SSD ティア)
Google Cloud Identity-Aware Proxy
Google Security Operations SIEM
Google Security Operations SOAR
Identity and Access Management(IAM)
Key Access Justifications(KAJ)
Looker Studio(旧称 Google データポータル、Pro を含む)
Security Command Center(Web Security Scanner を含む)(旧称 Cloud Security Sanner)
Sensitive Data Protection(Cloud Data Loss Prevention を含む)
Vertex AI Neural Architecture Search
Vertex AI Workbench User Managed Notebooks(旧称 AI Platform Notebooks)
JAB で FedRAMP Moderate を審査中の Google Cloud サービス
Google Workspace エディション(FedRAMP High)
*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。
Google Workspace Business Plus
Google Workspace Business Standard
Google Workspace エディション(FedRAMP Moderate)
*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。
Google Workspace Business Starter
Google Workspace Enterprise Essentials
Google Workspace Enterprise Plus
Google Workspace for Education
Google Workspace for Education Fundamentals
Google Workspace for Education Plus
Google Workspace for Education Standard
Google Workspace for Government
Google Workspace for Nonprofits
Google Workspace サービス(FedRAMP High)
FedRAMP パッケージ ID: F1206081364
*管理コンソールと Cloud Identity は Google サービス パッケージの一部になりました(FR1805751477)。
*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。
JAB で FedRAMP High を審査中の Google Workspace サービス
Google Workspace サービス(FedRAMP Moderate)
Google Workspace サービス(FedRAMP Moderate)
FedRAMP パッケージ ID: F1206081364
*管理コンソールと Cloud Identity は Google サービス パッケージの一部になりました(FR1805751477)。
*注: FedRAMP Moderate と FedRAMP High プラットフォームは、ドメインレベルで TLS 1.1/1.0 接続を制限するコントロールを実装しています。
Chrome Sync(Google Workspace for Education ドメインのみ)
Drive REST API(Documents List API の後継)
Gmail REST API(Email Migration API の後継)
Google Workspace セキュリティ センター(Enterprise Plus および Google Workspace for Education Plus ドメインのみ)
JAB で FedRAMP Moderate を審査中の Google Workspace サービス
FedRAMP の承認済み Google Cloud リージョン
FedRAMP High の対象となるすべての Google Cloud リージョンは、FedRAMP Moderate の対象ともなります。
オレゴン(us-west1)- FedRAMP High
ロサンゼルス(us-west2)- FedRAMP High
ソルトレイクシティ(us-west3)- FedRAMP High
ラスベガス(us-west4)- FedRAMP High
アイオワ(us-central1)- FedRAMP High
オクラホマ(us-central2)- FedRAMP High
サウスカロライナ(us-east1)- FedRAMP High
北バージニア(us-east4)- FedRAMP High
コロンバス(us-east5)- FedRAMP High
ダラス(us-south1)- FedRAMP High
モントリオール(northamerica-northeast1)- FedRAMP Moderate
サンパウロ(southamerica-east1)- FedRAMP Moderate
ベルギー(europe-west1)- FedRAMP Moderate
ロンドン(europe-west2)- FedRAMP Moderate
フランクフルト(europe-west3)- FedRAMP Moderate
オランダ(europe-west4)- FedRAMP Moderate
フィンランド(europe-north1)- FedRAMP Moderate
ムンバイ(asia-south1)- FedRAMP Moderate
シンガポール(asia-southeast1)- FedRAMP Moderate
台湾(asia-east1)- FedRAMP Moderate
東京(asia-northeast1)- FedRAMP Moderate
シドニー(australia-southeast1)- FedRAMP Moderate
チューリッヒ(europe-west6)- FedRAMP Moderate
ワルシャワ(europe-central2)- FedRAMP Moderate
ジャカルタ(asia-southeast2)- FedRAMP Moderate
大阪(asia-northeast2)- FedRAMP Moderate
ソウル(asia-northeast3)- FedRAMP Moderate
関連サービス
- NIST 800-53独立系第三者評価を受け、NIST 800-53 統制に準拠して動作する Google Cloud サービスをご覧ください。
- ISO 27001ISO/IEC 27000 規格群は、情報の安全を保つうえで役立ちます。Google Cloud Platform と Google Workspace は ISO/IEC 27001 に準拠しています。
- ISO 27017ISO/IEC 27017:2015 は、情報セキュリティ統制のガイドラインを示しています。Google Cloud Platform と Google Workspace は ISO/IEC 27017 に準拠しています。
- ISO 27018ISO/IEC 27018 は、パブリック クラウドにおける PII の保護に関連しています。Google Cloud Platform と Google Workspace は ISO/IEC 27018 に準拠しています。
セキュリティのベスト プラクティスに関する情報
ベスト プラクティスを見るよくある問題を解決する
セキュリティのユースケース動画を見るパートナーの活用
セキュリティ パートナーを見る
