米国政府のクラウド推進政策とサイバーセキュリティを読み解く：ビッグデータ利活用と問題解決のいま（1/3 ページ）

トランプ政権発足後の米国において、ビッグデータ化する政府システムの共通基盤としてクラウド利用を推進する姿勢は変わっていない。今回は、軍事・非軍事分野に関わる政府クラウドの調達基準や技術要件、サービスレベルアグリーメント（SLA）の標準化への取り組みを解説する。

[笹原英司，ITmedia]

米国連邦政府クラウドの統一セキュリティ基準「FedRAMP」

　米国には、「FedRAMP」（Federal Risk and Authorization Management Program、関連情報）という連邦政府共通のクラウドサービス調達のためのセキュリティ基準がある。クラウドサービスプロバイダーが、このプログラムの認証を受けて登録されると、省庁ごとに新たな調達評価の手続きを経ることなく、提供／調達することが可能な仕組みだ。

　FedRAMPのベースは、連邦政府の各機関に対して情報および情報システムのセキュリティを強化するためのプログラムの開発・文書化・実践を義務付けた「連邦情報セキュリティマネジメント法」（FISMA＝Federal Information Security Modernization Act、2002年12月制定、関連情報）である。同法は、米国国立標準技術研究所（NIST）に連邦政府がFISMAに準拠するための支援をすることを義務付けているほか、国土安全保障省（DHS）配下の情報セキュリティ対策組織である「US-CERT」（United States Computer Emergency Readiness Team）設置の根拠法令ともなっている。

　図1は、FedRAMPに関係する連邦政府機関の構成を示している。

図1.「FedRAMP」のステークホルダー構成（出典：General Services Administration「FedRAMP Security Assessment Framework Version 2.1」、2015年12月4日）

　標準的な契約用語やサービス・レベル・アグリーメント（SLA）のテンプレート開発などを含むプロジェクト全体の運営は、「連邦政府一般調達局」（GSA＝General Services Administration）のFedRAMP PMOが担う。GSAに加えて、国防総省（DoD＝Department of Defense）や国土安全保障省（DHS＝Department of Homeland Security）から構成される「合同認定委員会」（JAB＝Joint Authorization Board)が、調達対象のクラウドサービスを承認する。評価基準や技術要件については、NISTが所管する。具体的なリスク評価基準や要求事項をとりまとめたものが、「FedRAMPセキュリティ評価フレームワーク」（関連PDF）である。

　政府調達や予算執行については、「行政管理予算局」（OMB＝Office of Management and Budget）が調整する。そして、各省庁の最高情報責任者（CIO）の連絡機関である「CIO協議会」（CIO Council）が戦略統括と省庁間調整を担う。クラウドサービス事業者がFedRAMPの認定を受けるには、FedRAMP認定の第三者評価機関(3PAO＝3rd-Party Assessment Organization)による評価報告書を提出し、JABによる承認を受ける必要がある。

　2011年12月にFedRAMPが発表された直後は、米国のクラウド事業者や専門家から期待と批判の双方が寄せられていたが（関連記事）、2016年3月28日に承認申請プロセスの迅速化を目的とする「FedRAMP Accelerated」プログラムを発表するなど改善を重ね（図2参照）、採用する政府機関、認定取得製品とも増加傾向にある。

図2.「FedRAMP Accelerated」のプロセス（出典：General Services Administration「FedRAMP Accelerated Process Overview」、2016年3月28日）