連邦政府機関以外でもFedRAMP®が重要である6つの理由

米連邦政府は地球上で最も機密性の高いデータの一部を保有しており、そのデータには厳重なセキュリティが必要です。そのため、連邦政府は取引先のクラウドプロバイダーに対して、最も厳しいセキュリティ基準を満たすよう求めています。しかし、多くの連邦政府機関がリソースやアプリケーションをクラウドに移行しようとしている中で、このような厳格なセキュリティ要件があることで、これらの機関のクラウド化が民間企業に遅れをとる結果となっています。

そこで登場したのがFedRAMP^®です。連邦政府は、セキュリティ要件と新技術の導入のバランスをとる必要性を十分に認識し、連邦政府機関による安全なクラウドソリューションの採用を加速させるために、2011年にFedRAMPを導入しました。これは、クラウドサービスプロバイダー（CSP）のソリューションに対するセキュリティ評価と承認のための標準的なアプローチを提供し、クラウド製品が機密情報やデータを扱う連邦政府機関が使用するのに十分な安全性を備えていることを確認するためのプログラムです。FedRAMPによってCSPは、新たに取引する連邦政府機関ごとに時間と費用のかかる個別の認証を受ける必要が無くなり、プロセスの合理化と冗長性の排除が可能になりました。

国防情報システム局（DISA）の前CTOであるDavid Mihelcic氏は、「FedRAMPによって、政府機関はクラウドの機能が自らのセキュリティ要件に合致しているかどうかを迅速に判断できます。」と述べています。

FedRAMPは、連邦政府機関によるクラウドサービスの採用を促進するために作られましたが、この認証は公共機関以外の人々にも価値をもたらします。CSPと協働しようとする民間企業にとって、FedRAMPは大きな変革をもたらしてくれます。

認可を受けた組織の特徴とは･･･

最高レベルのセキュリティ標準に適合している

FedRAMPの認定を受けると、最もセキュリティ意識の高い組織である連邦政府にサービスを提供できます。国防総省や国土安全保障省などの連邦政府機関にとって、連邦政府のデータを安全に保つことは、文字通り国家安全保障に関わる問題です。

Menlo Security社の公共部門担当副社長であるDarrin Curtisは、「製品は、政府のセキュリティ基準に合わせて強化されていなければなりません。」と述べています。「連邦政府機関の保護には、失敗は許されません。」

もし、企業の製品が連邦政府にとって十分に安全であれば、他の業界にとっても十分に安全である可能性があります。どの企業も自社製品について好きなように主張できますが、FedRAMP認証は、CSPのセキュリティアーキテクチャが政府の厳格な要件を満たしていることを証明してくれます。

競合他社と差別化できる

FedRAMP MarketplaceにFedRAMP Authorized企業として掲載されているのはわずか264社であり、FedRAMPの認可を受けると、企業は排他的なクラブに入ることができます。なぜなら、Authorizedのステータスを得るには、通常、連邦政府機関からのスポンサーシップが必要であり、連邦政府機関は、投資に対して十分なリターンが得られない組織のスポンサーに時間と資金を費やすことはないからです。

Mihelcicは「企業は、連邦政府機関に自分たちの価値を認めてもらわなければなりません。機関側が企業のスポンサーになるためには、十分な投資価値を見出さなければならないのです。」と言います。

州や地域の要件にも対応可能

FedRAMPの要件は、連邦政府機関だけでなく、州や地方の政府機関や高等教育機関にも適用されます。10個の州で、州および地方機関と連携するCSPに対して、StateRAMP要件（実質的には州のためのFedRAMP）を満たすことを求めており、他の州もガイドラインとしてのStateRAMPに注目しています。FedRAMP認定を受けたCSPは、長い時間のかかるコンプライアンスプロセスを繰り返す必要はありません。FedRAMPの資料でStateRAMP委員会に申請すれば、通常は1ヶ月以内に承認されます。

日本やオーストラリアのような外国政府には独自のコンプライアンス要件がありますが、Curtisによれば、それらの政府でさえ、FedRAMPをベンチマークとして見ているのだそうです。世界最大の規制産業である米国連邦政府の仕様に合わせて作られた製品であることは、重要インフラ、医療、銀行など、機密データを扱う規制の厳しい業界の企業にとって、製品のセキュリティに対する信頼につながるはずです。

継続的にテストを受けている

FedRAMPの認可は1回で終了するものではありません。FedRAMP認可のステータスを維持するためには、年1回の監査とFedRAMPのPMO（Program Management Office）への月次報告など、コンプライアンスを確保するための継続的な監視が必要です。

組織のリスクレベルが上昇したり、FedRAMPの要件を満たせなくなった場合、FedRAMP認可ステータスを取り消すことができます。このように、FedRAMP Authorizedのステータスは、ある時点で組織が厳しいセキュリティ要件を満たしただけでなく、現在もその要件を満たしていることを保証しているのです。

最新の製品を提供している

ほとんどの組織は、FedRAMPの要件を念頭に置いて製品を開発しているわけではありませんし、その製品がすぐにすべての要件を満たすとも思えません。つまり、FedRAMPの要件（データの暗号化や米国製コードなど）を満たすためには、企業は追加で多大な時間、労力、資源を費やして製品の一部を再設計しなければならないのです。

例えばMenlo Securityでは、FedRAMPの要件を満たすためにIsolation Core™を活用したCloud Security Platformのテストとセキュリティ強化に多大なリソースを割かなければならなかったとCurtisは言います。しかしこれはMenloにとっても良い機会で、製品をクリアなコードで書き直して再構築することができたのです。多くの企業は、これを後ろ向きではなく前向きに捉えるでしょう。

社内が協力的で連携がとれている

FedRAMPの認可を受けるためには、さまざまなチームが協力し、取締役会、経営陣、その他の利害関係者からサポートを受ける必要があります。Menlo Securityでは、FedRAMP認可プロセスの一環として、FedRAMPに特化したチームを結成し、専門家を雇い、他の新製品よりもFedRAMP製品の構築を優先させました。

「これは大きな取り組みで、会社全体を巻き込まなければなりません。」とCurtisは言います。「認可取得のための投資と労力を惜しんではならないのです。」このような投資（資金、時間、工数）は、FedRAMP Authorized企業がセキュリティに関してお金をかける準備ができていることを示すだけでなく、その投資を実行するための社内調整が十分に可能であることを示しています。

FedRAMPは、CSPが連邦政府機関と業務を行うための単なるチェックリストではありません。これは実質的には、最高レベルのセキュリティが維持されていることを示す指標であり、組織はどのCSPを採用するかを評価する際に注目する必要があります。

Menlo SecurityはFedRAMP Authorizedを取得しました：詳細はこちら