使える! 情シス三段用語辞典82「FedRAMP」
常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
一段目 ITの知識がある人向け「FedRAMP」の意味
FedRAMP(Federal Risk and Authorization Management Program)とは、一言で言えば、「クラウドにおける米国政府の調達基準」となります。FedRAMPは、オバマ政権下の2011年12月、クラウドサービス及び関連商品のセキュリティをコントロールし評価する標準アプローチを定めたものとして発表されました。その目的は、省庁間で重複するセキュリティアセスメントとクラウド認証のコスト及び時間を削減することにありました。FedRAMPに認証/登録してあるサービスであれば、省庁ごとに新たに調達評価の手続きをすることなく、提供/調達が可能となります。
もはや企業には「クラウドを使わない」という選択肢はなく、クラウドはビジネスの上で欠かせない技術となっているのは周知の通りです。Webアプリケーションやスマートフォンアプリを通じてサービスとして提供され、社内で利用する業務アプリケーションやファイルサーバー(ストレージ)などもクラウドに乗り換える時代です。そんな企業がクラウドを利用する際には「自社のデータがどのように管理されているのか、セキュリティが担保されているのか」などを確認した上で利用していることでしょう。これと同様に米国が利用して良いレベルなのかを見極める基準がFedRAMPと言えます。言い換えると米国の官公庁は、RedRAMPの認証を取得したクラウド事業者でないと調達(利用)ができません。
一般の企業同様、米国の政府機関でもクラウドサービス利用には積極的であり、クラウドサービスプロバイダーに一定以上のセキュリティ水準を満たすように求めました。その一方で、米国政府はセキュリティ認証コストの増大も懸念しました。米国の各省庁で異なるセキュリティ評価基準を設けて運用すると、クラウドサービスを提供する企業はあらゆる機関の調達基準を満たさなければならず、政府も調達認証コストが膨れ上がるという懸念です。
そこで考え出されたのがFedRAMPになります。FedRAMPは米国政府共通のベースラインとなるセキュリティ基準ですから、これ満たしていれば各省庁のセキュリティ認証評価をクリアできるため調達認証コストを下げられます。また各省庁独自のセキュリティ基準がある場合、FedRAMPと独自のセキュリティ基準基準の差を埋めれば調達基準を満たす仕組みとなっています。
現在、AmazonやMicrosoftを始め、いくつかの会社からFedRAMPの認定サービスを提供しています。そのサービスにはIaaSやPaaSなどのインフラ寄りのものから、Office365やエンドポイントセキュリティまで様々なサービスが認定を受けています。(但し、政府向けサービスに限った場合もある)
尚、米国政府のクラウドサービス調達基準は国際標準になることが想定されています。日本においても、日本版FedRAMPを創設することがすでに政府(自民党IT戦略特命委員会)より明言されており、防衛省が主導して着手することになっています。
将来的には、日本版FedRAMPに準拠することで、米国の”本家FedRAMP”にも準拠しているという環境が整えられることになるでしょう。
二段目 ITが苦手な経営者向け
とある製造会社の社長さんが、情シスの奈良岡さんと話しています。
社長:奈良岡さん、最近うちが導入した基幹システムにはクラウドが使われているのかね?
奈良岡:はい、AWSを使っています。
社長:クラウドのセキュリティは万全と言っていたが、米国防衛省が何かクラウドサービスに基準を設けると聞いたけど、知っているかね。
奈良岡:はい、米国政府がクラウドサービスを導入する際はFedRAMPというセキュリティ基準を満たしたクラウドサービスを利用しなければいけなくなります。
社長:そのFedRAMPとは何かね?
奈良岡:FedRAMPは米国政府共通の基準です。FedRAMPの下では、クラウドサービス業者が1つの省庁から認証を受けると、他の省庁はその認証を引き継ぐことができ、各省庁は認証プロセスを省略してサービスを調達できます。
社長:そうかあ。この前A社の社長はFedRAMPの日本版ができるかも知れないと言っていたのだが、どういうことかな?FedRAMPは日本のクラウドサービスにも関係があるのかね?
奈良岡:FedRAMPは米国政府の調達基準ですから、今後、世界的にもクラウドコンピューティングのセキュリティ標準になるという予想もあります。日本でも日本版FedRAMPの準備が進んでいます。
社長:なるほど。しかしながら、それは我が社にどう関係あるのかね? AWSを使っていれば良いという話ではないのかね?
奈良岡:利用するクラウドサービスプロバイダーがAWSだからといっても、個々の企業のシステムが一定のセキュリティ水準を満たしているとは限りません。
社長:では、社内のシステムはどんなセキュリティ水準を満たせば良いのだろう?
奈良岡:政府調達を考慮すると企業にはNIST SP 800-171レベルのセキュリティ水準が求められることになるでしょうね。新防衛調達基準の試行導入が、2019年度から日本で始まるようですし。
社長:じゃあうちも、AWSがFedRAMP認定サービスと言うことだけで安心していないで、NIST SP 800-171への対応できるように勉強しておかないといけないな。
三段目 小学生向け
今日は「クラウドセキュリティ」のお話しです。インターネットにはみんながアクセスできる「クラウド」という仕組みがあるのは知っていますよね?
ただクラウドはインターネットを通してアクセスするから、悪い人が情報を盗むかも知れません。
もちろんクラウドサービスはしっかりとセキュリティの対策を立てていますよ。でも悪い人はセキュリティ対策を破って、クラウドの情報を盗もうとします。
だからクラウドサービスの会社はとても厳しいセキュリティ対策をしないといけませんよね?
でもたくさんのセキュリティ基準があると、クラウドサービスの会社は「どのセキュリティ基準に従えば良いだろう?」、「どのくらいのセキュリティにすれば良いだろう?」と分からなくなってしまいます。
たとえば、お父さんはマコト君に「ジョナゴールドをキッチンから持ってきて」といいました。そしてキッチンに向かっていると、こんどはお母さんが「マコト、リンゴを冷蔵庫から持ってきて」といいます。
マコト君はキッチンのリンゴをお父さんに渡せば良いのか、お母さんに渡せばいいのか分からないので、もう一度お父さんとお母さんに確認しないといけなくなりました。
お父さんもお母さんも求めた結果は同じなのに、呼び方が違うので確かめないといけません。
FedRAMPはこの呼び方を共通にする考え方で、セキュリティ基準をみんなで共通にすれば、クラウドサービスの会社がセキュリティのことで困ることがなくなります。
アメリカはこのFedRAMPを作って国内に広めました。将来、このFedRAMPは世界中に広がると考えられていて、日本もFedRAMPのような「日本のクラウドサービスの会社が守らないといけないルール」をきちんと決めようとしています。
さて、皆様のご理解は深まったでしょうか?
【執筆:編集Gp 恵良 信】