Logo for the Federal Risk and Authorization Management Program (FedRAMP)
See Cloud Platform in Action

Acquia、FedRAMP運用認可を更新

March 17, 2025 1 分で読めます
同社は、FedRAMP認証を取得した唯一の非政府系Drupalホスティングプロバイダーです
Logo for the Federal Risk and Authorization Management Program (FedRAMP)

連邦政府機関が.govサイトのユーザーエクスペリエンス向上に取り組む中、デジタルプラットフォームのセキュリティと整合性の確保は最優先事項であり続けています。連邦政府セクターのテクノロジープロバイダーとして、Acquiaの最大の優先事項は、お客様のセキュリティとコンプライアンス要求を満たすことです。米国において、政府ウェブサイトセキュリティのゴールドスタンダードとされているのが連邦リスクおよび認証管理プログラム(FedRAMP)であり、これは連邦政府機関に製品やサービスを提供したいベンダーが満たすべき一連の基準と規則です。

Acquiaは2016年4月からFedRAMP準拠クラウドサービスプロバイダー(CSP)として認定されており、これは米国財務省から最初の運用認可(ATO)を受けた時期です。それ以来、この認証はAcquia CloudプラットフォームAcquia Site Factoryを利用する連邦政府セクターのお客様に適用されています。2022年には、Acquia Site StudioAcquia Platform Email機能をFedRAMP境界に追加し、2023年にはSolr 8を搭載したAcquia Searchの最新版を追加しました。また、AcquiaはFedRAMP第三者評価機関(3PAO)から肯定的な推奨も獲得しています。

Acquiaにとって、FedRAMPはお客様が重要なアプリケーションをクラウドでホストし、オープンソースのDrupalを使用し、当社のPlatform-as-a-Service(PaaS)機能を安心して活用することを可能にしました。現在まで、FedRAMP認証を持つ非政府系Drupalサービスとして唯一の存在であり続けています。

連邦政府は年間数億ドルをITシステムのセキュリティ確保に費やしており、FedRAMPは各機関に対し、クラウド資産に適切なセキュリティとリスク管理体制が整備されていることを保証します。FedRAMP準拠には、Acquiaのセキュリティチームが必要なパラメータを満たしていることを確実にする取り組みが求められます。

FedRAMPとは?

FedRAMPは2011年にクラウドセキュリティ実践の標準化と効率化を確立するために創設されました。この政府全体のプログラムは、クラウド製品・サービスのセキュリティ評価、認証、継続的監視に対する標準化されたアプローチを提供しています。

民間セクターと以下の政府組織の両方からのクラウド専門家の密接な協力により、FedRAMPが誕生しました:

  • 一般調達庁(GSA)
  • 米国国立標準技術研究所(NIST)
  • 国土安全保障省(DHS)
  • 国防総省(DOD)
  • 国家安全保障局(NSA)
  • 行政管理予算局(OMB)
  • 連邦最高情報責任者(CIO)協議会
     

FedRAMPの創設により、安全なクラウドソリューションの採用が加速され、クラウド製品承認のベースライン標準が提供され、クラウドソリューションのセキュリティに対する信頼が向上し、既存のセキュリティ実践の一貫した適用が保証され、継続的監視のためのリアルタイムデータの自動化が拡大しました。

AcquiaはどのようにATOを取得したのか?

FedRAMP運用認可を取得するために、AcquiaはNIST SP 800-53 Revision 4標準に概説された堅牢で詳細なセキュリティ統制要件を満たす必要がありました。当社チームは、FedRAMP認証を取得する前に、厳格な独立第三者監査と承認プロセスを経ました。このプロセスには3つのステップが含まれていました:

  1. セキュリティ評価
  2. 活用と認証
  3. 継続的評価と認証
     

これらのFedRAMPプロセスは、機関がクラウドシステムに対する2002年連邦情報セキュリティ管理法(FISMA)要件を満たし、クラウドシステムがFISMA準拠を目指す際に直面する特定の課題に対処することを支援するよう設計されています。FedRAMP準拠プラットフォームでこのプロセスを開始する機関は、独自のATO取得に役立つ特定のセキュリティ対策をすでに実装していることになります。

これがあなたにとって何を意味するか

FedRAMPは、連邦政府、州政府、地方政府機関、およびその他の政府アプリケーションに多くの利益をもたらします。大幅なコストと時間の削減、リスクベース管理への統一されたアプローチを提供します。また、FedRAMPはリアルタイムのセキュリティ可視性を向上させ、政府とCSP間の透明性を強化します。

すべての政府アプリケーションにはATOが必要ですが、Acquia Cloudプラットフォームなどの一部のプラットフォームでは、このプロセスをより迅速かつ手頃な価格で実現できます。組織がオンプレミスデータセンターでアプリケーションを展開する場合、インフラストラクチャ、プラットフォーム、アプリケーションのATOが必要になります。同じくFedRAMP準拠であるAWSでアプリケーションを展開した場合、統制はIaaSレベルまでしか適用されないため、組織はプラットフォームとアプリケーションの認証に引き続き責任を負います。しかし、Acquiaプラットフォームでは、FedRAMP統制がPaaSレベルまで適用されているため、組織はアプリケーションレベルでの認証のみに責任を負えばよいのです。

つまり、Acquiaをご利用のお客様は、連邦セキュリティ標準に標準で準拠したベストインクラスのプラットフォームを活用できます。お客様の認証・認定(C&A)作業は、オンプレミスソリューションやFedRAMP準拠IaaS上に構築されたシステムの認定と比較して、大幅に時間とコストを削減できます。要するに、組織を支える安全でセキュアなクラウドプラットフォームを手に入れることができます。

全体として、FedRAMPが導入されることで、組織は連邦セキュリティ認証プロセスの信頼性、信頼性、一貫性、品質の向上を実感できます。Drupalアプリケーションの構築と支援のためのCloudプラットフォーム、Site Studio、Acquiaのその他製品について詳しくは、当社のDrupal Cloudサービスをご覧ください。

住民に安全でパーソナライズされた体験を提供する方法について詳しく知りたい公共部門機関は、無料の電子書籍「顧客体験から市民体験へ:政府機関がデジタルリーダーになるためのロードマップ」をダウンロードできます。