米国発クラウドセキュリティ標準「FedRAMP」はどれほど効果があるのか？：セキュリティ評価に関するコスト削減が狙い

オバマ政権は2011年12月、クラウドサービスに対するセキュリティ評価、認証および継続的モニタリングの標準的アプローチを策定したFedRAMPを発表。米国のクラウド事業者や専門家はFedRAMPへの期待と批判を寄せている。

[Marcia Savage，TechTarget]

　米国のクラウドサービス業者や業界専門家は、クラウドコンピューティングのセキュリティ標準を定めた新しい国家プログラムに大きな期待を寄せるが、同時に幾つかの懸念も示す。このプログラムが「サイバーセキュリティの進歩を阻害しかねない」との警告するセキュリティ専門家の声もある。

　オバマ政権は2011年12月、クラウドサービスおよび関連商品のセキュリティをコントロールのベースラインで評価する標準アプローチを定めた「Federal Risk and Authorization Management Program（FedRAMP）」を発表した。その目的は、省庁間で重複するセキュリティアセスメントとクラウド認証のコストおよび時間を削減することだ。

　「端的にいえば、政府省庁に対して、パブリックおよびプライベートクラウドの導入に当たり、比較的容易な認証方法を提供することだ。つまり各省庁は、従来のFISMA（連邦情報セキュリティマネジメント法）プロセスを経る場合と比べて、簡単にクラウドを利用できるようになる」と説明するのは、政府情報セキュリティの専門家でCloud Security Alliance（CSA）のメンバーであるダン・フィルポット氏だ。

　FedRAMPの下では、クラウドサービス業者が1つの省庁から認証を受けると、他の省庁はその認証を引き継げる。ある省庁が追加的な要求仕様を持っている場合、ベースラインとその仕様の間を埋める差分のみを満たせばよい。その面で、非常に経済的なセキュリティモデルとなっている。

　この「1回行って、何回も使う（do once, use many times）」というFedRAMPのアプローチは、煩雑な認証手続きを大幅にカットできるため、政府と産業の双方に大きなコスト削減効果をもたらす。そう指摘するのは、業界団体TechAmericaの政府および国内セキュリティポリシー担当副社長、ジェニファー・カーバー氏だ。

　ただし、「多くの省庁が業者の認証にさまざまな要求を追加するようになると、問題が生じる」と同氏はいう。