フェデラムプ
代理店概要
形成された	2011

米国政府のサイバーセキュリティプログラム

連邦リスクおよび承認管理プログラム（FedRAMP）は、クラウド製品およびサービスのセキュリティ評価、承認、継続的な監視に対する標準化されたアプローチを提供する、米国連邦政府全体のコンプライアンスプログラムです。^[¹^]

2011年、米国行政管理予算局（OMB）は、「クラウドサービスの導入と利用に関して、行政部門および行政機関に費用対効果の高いリスクベースのアプローチを提供する」ためにFedRAMPを設立する覚書を発表しました。^{[ 2 ]}米国一般調達局（GSA）は2012年6月にFedRAMPプログラム管理オフィス（PMO）を設立しました。FedRAMP PMOの使命は、セキュリティとリスク評価への標準化されたアプローチを提供することにより、連邦政府全体で安全なクラウドサービスの導入を促進することです。^{[ 3 ]} OMB覚書によると、連邦政府のデータを保持するクラウドサービスはすべてFedRAMPの認定を受けなければなりません。^{[ 4 ]} FedRAMPは、政府がサービスを利用するためにクラウドサービスプロバイダーが従わなければならないセキュリティ要件とプロセスを規定しています。

FedRAMPを通じてクラウドサービスを認可する方法は2つあります。共同認可委員会（JAB）暫定認可（P-ATO）^{[ 5 ]}と個々の機関を通じた認可です。^{[ 6 ]}

FedRAMPが導入される前は、各連邦機関は2002年の連邦情報セキュリティ管理法で定められたガイドラインに従って独自の評価方法論を管理していました。^{[ 7 ]}

FedRAMP は、 Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)、Software as a Service (SaaS) など、さまざまなクラウド提供モデルのクラウドサービスの認定を提供します。

ガバナンスと適用法

FedRAMPは、プログラムの開発、管理、運用を共同で行う複数の行政機関によって運営されています。 ^{[ 8 ]}これらの機関には以下のものがあります。

行政管理予算局（OMB）：プログラムの主要な要件と機能を定義するFedRAMPポリシーメモを発行した統治機関
共同認可委員会（JAB）：FedRAMPの主要なガバナンスおよび意思決定機関は、国土安全保障省（DHS）、一般調達局（GSA）、国防総省（DOD）の最高情報責任者（CIO）で構成されています。
米国国立標準技術研究所（NIST）：FISMAコンプライアンス要件についてFedRAMPに助言し、独立した 3PAOの認定基準の策定を支援します。
国土安全保障省（DHS）：データフィード基準、報告構造、脅威通知調整、インシデント対応を含むFedRAMP継続監視戦略を管理します。
連邦最高情報責任者（CIO）協議会：連邦政府機関間のコミュニケーションやイベントを通じて、FedRAMP情報を連邦CIOやその他の代表者に配布します。
FedRAMP PMO: GSA内に設立され、日常業務の管理を含むFedRAMPプログラムの開発を担当します。

FedRAMPの基礎となる法律、義務、ポリシーは複数あります。FISMA （連邦情報セキュリティ近代化法）は、政府機関が使用する情報システムを承認することを義務付けています。FedRAMPはクラウド版のFISMAです。FedRAMPポリシーメモでは、連邦政府機関がクラウドサービスを評価、承認、継続的に監視する際にFedRAMPを使用することを義務付けています。これは、政府機関の承認プロセスを支援するとともに、政府のリソースを節約し、重複した作業を排除するためです。^{[ 9 ]} FedRAMPのセキュリティベースラインは、 NIST SP 800-53（改訂版）をベースに、クラウドコンピューティング固有のセキュリティ要件に関連する一連の制御強化を加えたものです。

第三者評価機関

サードパーティ評価機関（3PAO）は、クラウドプロバイダーのセキュリティ実装を検証し、セキュリティ認可の決定のためにクラウド環境の全体的なリスク状況を提供する独立した評価機関であるため、FedRAMPセキュリティ評価プロセスで重要な役割を果たします。^{[ 10 ]}米国試験所認定協会（A2LA）によって認定されているこれらの評価機関は、セキュリティ実装をテストし、代表的な証拠を収集するために必要な独立性と技術的能力を実証する必要があります。

FedRAMPマーケットプレイス

FedRAMPマーケットプレイスは、FedRAMP認定を取得したクラウドサービスオファリング（CSO）の検索・並べ替え可能なデータベースを提供しています。^{[ 11 ]} FedRAMP評価を実施できる認定監査機関である3PAOもマーケットプレイスに掲載されています。FedRAMPマーケットプレイスは、FedRAMPプログラムマネジメントオフィス（PMO）によって管理されています。^{[ 12 ]}

参照

クラウドコンピューティングの問題

参考文献

^ "FedRAMP.gov" . FedRAMP.gov . 2020年3月26日. 2025年10月27日閲覧。
^ 「政策メモ」（PDF）www.fedramp.gov . 2020年4月5日閲覧。
^ "FedRAMP.gov" . FedRAMP.gov . 2020年3月26日. 2020年4月5日閲覧。
^ 「政策メモ」（PDF）www.fedramp.gov . 2020年4月5日閲覧。
^ 「Get Authorized: Joint Authorization Board」 . FedRAMP.gov . 2020年4月5日閲覧。
^ 「Get Authorized: Agency Authorization」 FedRAMP.gov 2020年4月5日閲覧。
^ 「国防総省、FedRAMPとクラウドブローカーを導入 -- FCW」FCW 2014年5月21日。2020年10月31日時点のオリジナルよりアーカイブ。2020年4月5日閲覧。
^ 「ガバナンス」FedRAMP.gov . 2025年10月27日閲覧。
^ 「政策メモ」（PDF）www.fedramp.gov . 2020年4月5日閲覧。
^ 「政策メモ」（PDF）www.fedramp.gov . 2020年4月5日閲覧。
^ 「連邦リスク管理プログラムダッシュボード」 marketplace.fedramp.gov . 2021年7月28日閲覧。
^ 「マーケットプレイスの指定」（PDF）www.fedramp.gov . 2020年4月5日閲覧。

外部リンク

[1] "FedRAMP.gov" . FedRAMP.gov . 2020年3月26日. 2025年10月27日閲覧。

[2] 「政策メモ」（PDF）www.fedramp.gov . 2020年4月5日閲覧。

[3] "FedRAMP.gov" . FedRAMP.gov . 2020年3月26日. 2020年4月5日閲覧。

[4] 「政策メモ」（PDF）www.fedramp.gov . 2020年4月5日閲覧。

[5] 「Get Authorized: Joint Authorization Board」 . FedRAMP.gov . 2020年4月5日閲覧。

[6] 「Get Authorized: Agency Authorization」 FedRAMP.gov 2020年4月5日閲覧。

[7] 「国防総省、FedRAMPとクラウドブローカーを導入 -- FCW」FCW 2014年5月21日。2020年10月31日時点のオリジナルよりアーカイブ。2020年4月5日閲覧。

[8] 「ガバナンス」FedRAMP.gov . 2025年10月27日閲覧。

[9] 「政策メモ」（PDF）www.fedramp.gov . 2020年4月5日閲覧。

[10] 「政策メモ」（PDF）www.fedramp.gov . 2020年4月5日閲覧。

[11] 「連邦リスク管理プログラムダッシュボード」 marketplace.fedramp.gov . 2021年7月28日閲覧。

[12] 「マーケットプレイスの指定」（PDF）www.fedramp.gov . 2020年4月5日閲覧。

[

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]