FedRAMP
米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program: FedRAMP)。クラウド製品やクラウド サービスを対象として、セキュリティ評価、認可、継続的モニタリングの標準規格を規定する米国連邦政府のプログラムです。特定のオンプレミス プライベート クラウド以外のすべての連邦政府機関のクラウドのデプロイとサービスモデルは、FedRAMP 要件が定める適切なリスク影響レベル(Low、Moderate、または High)に準拠している必要があります。
Google Cloud は、FedRAMP JAB から 6 つのリージョンにおける 18 の Google Cloud 製品で FedRAMP High Provisional Authority to Operate(P-ATO)を維持しています。また、18 リージョンで 64 の Google Cloud Platform(GCP)製品で Moderate Provisional Authority to Operate(P-ATO)、27 の Google Workspace 製品で Moderate Authority to Operate(ATO)を維持しています。
Google の FedRAMP ステータスは、政府機関のウェブサイト FedRAMP Marketplace に掲載されています。
FedRAMP の対象となる Google Cloud サービス
Google Cloud Platform(GCP)サービス(FedRAMP High)
FedRAMP High の対象となるすべての GCP サービスは、FedRAMP Moderate も対象となります。
Google Cloud Platform(GCP)サービス(FedRAMP Moderate)
Google Workspace エディション(FedRAMP Moderate)
Google Workspace サービス(FedRAMP Moderate)
FedRAMP コンプライアンスをお求めのお客様は、次の FedRAMP 承認済みのリージョンでのみワークロードを実行していただく必要があります。
すべて展開
| リージョン | High ベースライン | Moderate ベースライン |
|---|---|---|
| オレゴン(us-west1) | X | X |
| ロサンゼルス(us-west2) | X | X |
| ソルトレイクシティ(us-west3) | X | X |
| アイオワ(us-central1) | X | X |
| サウス カロライナ(us-east1) | X | X |
| 北バージニア(us-east4) | X | X |
| モントリオール(northamerica-northeast1) | X | |
| サンパウロ(southamerica-east1) | X | |
| ベルギー(europe-west1) | X | |
| ロンドン(europe-west2) | X | |
| フランクフルト(europe-west3) | X | |
| オランダ(europe-west4) | X | |
| フィンランド(europe-north1) | X | |
| ムンバイ(asia-south1) | X | |
| シンガポール(asia-southeast1) | X | |
| 台湾(asia-east1) | X | |
| 東京(asia-northeast1) | X | |
| シドニー(australia-southeast1) | X |
よくある質問
Google Cloud を使用するソリューションの FedRAMP コンプライアンスを取得するにはどうすればよいですか?
FedRAMP は、FedRAMP 承認済みのインフラストラクチャ、プラットフォーム、サービスを使用して、クラウド サービス プロバイダ(CSP)のさまざまなレベルの継承を可能にします。このコントロールと継承の初期分析により、CSP としてどの程度のコンプライアンス責任を負うのかが最終的に決定されます。たとえば、組織がアプリケーションのスタック全体の構築を希望している場合、承認機関による審査中に、お客様の責任 / 義務もさらに生じることになります。Platform as a Service または Software as a Service を使用すると、コンプライアンスの負担が軽減されることが予想されます。
FedRAMP 承認済みのサービスを選択すると、Google はサービス固有の構成ガイド、またはプロフェッショナル サービス組織の FedRAMP エキスパートとの直接的な関わりを通して、ソリューションの構成を支援できます。
Google は、どのように GovCloud サービスなしで FedRAMP 承認済みのサービスを提供するのですか?
Google は、商用パブリック クラウド サービスで FedRAMP High を達成した最初のハイパースケールの商用クラウド プロバイダの一つであり、今日の市場で利用可能な FedRAMP サービスを提供する最大規模のプロバイダの一つでもあります。これまで、ハイパースケール プロバイダは FedRAMP High の要件を満たすために、「govclouds」を商用クラウドから切り離してきました。その結果、サービスの提供と可用性が低下し、運用費用が増大しました。GCP の FedRAMP High 承認により、影響の大きなワークロードを処理する政府機関は、はるかに高速に商業顧客と同規模のテクノロジーを導入できるようになりました。また、米国政府のパブリック クラウド市場での競争に求められていた後押しを実現し、公共部門に対しては、かつてないほどの多様なテクノロジーと幅広いクラウド プロバイダの選択肢を提供しました。また、今後は認可済み製品の提供を拡大していく計画もあります。
FedRAMP の利用規約は、公的部門の調達パートナーである Carahsoft の利用規約を継承しています。Google Cloud の FedRAMP に関心をお持ちの場合は、Carahsoft にお問い合わせください。
関連ドキュメント
リファレンス
リージョン
米国
業種
政府および公共部門