Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > FedRAMP相当と認証済み:何が問われているのか

FedRAMP相当と認証済み:何が問われているのか

by Danielle Barbour updated 6月 3, 2026 サイバーセキュリティー・リスク管理
Reading Time: 7 minutes

どのベンダーデモにも必ずこの瞬間があります。スライドが表示され、ロゴが公式らしく見え、プレゼンターが「FedRAMP相当」とプラットフォームを説明します。会場のどこかでコンプライアンス担当者がうなずきます。そのうなずきには高いコストが伴います。

「FedRAMP相当」は連邦政府の認証ステータスではありません。FedRAMP認証プロセスのどこにも記載されておらず、NIST 800-53にも定義がありません。これは、認証のように聞こえるマーケティング用語であり、実際には認証ではありません。DFARS 252.204-7012の下でCUIを扱う組織にとって、この違いは契約上・法的に重要であり、深刻な法的リスクの源になりつつあります。

CMMC 2.0はすでに契約に組み込まれています。C3PAOによる評価も加速しています。国防総省のCivil Cyber Fraud Initiative(サイバー詐欺対策イニシアチブ)により、サイバーセキュリティに関する虚偽申告に対するFalse Claims Act(虚偽請求防止法)の適用が現実のものとなりました。防衛産業基盤の相当数が、実際の認証を取得せず「相当」と主張するツールでCUIを運用し続けています。本記事では、この違いが評価時に明らかになった際に発生するコストについて解説します。

5つの重要なポイント

1. 「FedRAMP相当」はマーケティング上の主張であり、連邦政府のステータスではありません。

NIST 800-53に定義はなく、FedRAMP認証プロセスにも該当せず、marketplace.fedramp.govにも掲載されていません。「FedRAMP相当」をコンプライアンスの証明として提示するベンダーは、自己評価を連邦認証として提示していることになります。DFARS 252.204-7012の下でCUIを扱う組織にとって、この違いは契約上・法的に重要であり、深刻な法的リスクの源になりつつあります。

2. 「相当」の負担はすべて利用者側にかかります。

ベンダーが認証を取得せず「相当」と主張する場合、利用者側のチームは、FedRAMP Moderateの全325コントロールに対するシステムセキュリティ計画(System Security Plan)を検証し、カスタマー責任マトリクス(Customer Responsibility Matrix)を作成し、そのドキュメントをC3PAOに提出しなければなりません。これは、独立した第三者による検証が一切ない状態で構築される並行的なコンプライアンスプログラムであり、単なる事務的な手間ではなく、証拠面でのリスクとなります。

3. DFARS 252.204-7012(d)は明確です。

対象防衛情報を扱うクラウドサービスは、既存の認証または国防総省による書面での承認を通じてFedRAMP Moderate要件を満たさなければなりません。ベンダーの「相当」バッジはそのいずれにも該当しません。国防総省のCivil Cyber Fraud Initiativeにより、サイバーセキュリティに関する虚偽申告に対するFalse Claims Actの適用が現実となっています。ベンダーの資料にある「相当」という表現は、法的な防御にはなりません。

4. DIB組織の46%しかCMMC対応ができていると考えていません。

Kiteworks 2025 CMMC Preparedness Reportによると、57%がNIST 800-171に対するギャップ分析を完了しておらず、62%が十分なガバナンスコントロールを欠いています。未検証のプラットフォームでCUIを扱うことは、まさにC3PAO評価時に露呈するギャップであり、既存のガバナンス不足の上に未検証の主張を重ねることでリスクがさらに増大します。

5. FedRAMP Moderate認証はCMMCのスケジュールを50%以上短縮できます。

FedRAMP認証済みCSPを利用することで、独立して検証されたコントロールがドキュメント化された継承によりコンプライアンスプログラムに適用されます。C3PAOは、すでに独立した連邦評価者が検証したコントロールを確認するだけです。Kiteworksは2017年6月以降、FedRAMP Moderate認証を継続的に保持しており、Coalfireによる独立評価を受け、marketplace.fedramp.govに掲載されています。

自社のセキュリティは万全だと信じていませんか。その証明はできますか

Read Now

FedRAMP認証の本当の意味と、組織にもたらす価値

FedRAMP認証は、明確に定義された段階を経るプロセスであり、自己宣言によるステータスではありません。クラウドサービスがFedRAMP認証を取得するには、独立した第三者評価機関(3PAO)がNIST 800-53 ModerateまたはHighベースラインに基づく完全なセキュリティ評価を実施し、連邦機関がセキュリティパッケージ全体をスポンサーおよびレビューし、FedRAMPプログラム管理事務局(PMO)がそれを受理し、運用許可(Authority to Operate)を付与する必要があります。その後、CSPは継続的な監視に入ります。月次の脆弱性スキャン、年次再評価、継続的な報告が求められます。これらすべてが完了した後、marketplace.fedramp.govという公式公開レジストリに掲載されます。

単なるチェックボックス以上に認証がもたらすもの—それは「コントロールの継承」です。FedRAMP認証済みCSPを利用することで、独立して検証されたセキュリティコントロールがドキュメント化された継承によりコンプライアンスプログラムに適用されます。3PAOは、すでに独立した連邦評価者が検証したコントロールを確認します。自社のコンプライアンス負担は確実に軽減されます。これは作業量が減るからではなく、プラットフォーム側ですでに対応済みだからです。

「FedRAMP相当」がコンプライアンスプログラムにもたらす現実

ベンダーが「相当」と主張する場合、彼らが省略したコンプライアンス作業は、すべて利用者側の負担となります。3PAO評価も、機関によるレビューも、PMOの承認も、マーケットプレイスへの掲載もありません。あるのは、ベンダーが自社のコントロールがFedRAMP Moderateベースラインと「おそらく」同等だと主張するホワイトペーパーだけです。

「おそらく」。この言葉が、組織のコンプライアンス体制に大きなリスクをもたらします。

利用者側がやらなければならないこと:ベンダーのシステムセキュリティ計画(SSP)をNIST 800-53のFedRAMP Moderate全325コントロールに照らして取得・検証し、14のコントロールファミリーすべてにわたるNIST 800-171へのマッピングを含むカスタマー責任マトリクスを作成・維持し、各Moderateベースラインコントロールの現状を文書化し、そのすべての証拠(ベンダーの未検証の主張に基づく)をC3PAOに提出する必要があります。これは単なる事務的な手間ではなく、資格を持つ独立した第三者による検証が一切ない土台の上に構築される並行的なコンプライアンスプログラムです。

DFARS 252.204-7012(d)が明確に求めていること

DFARS 252.204-7012は、対象防衛情報の十分なセキュリティを規定しています。サブセクション(d)は、クラウドコンピューティングについて曖昧さなく記載しています。CDIを処理・保存・送信するクラウドサービスは、既存のFedRAMP認証または指定されたDoD担当者による書面での承認を通じて、FedRAMP Moderateセキュリティ要件を満たす必要があります。後者の道を選ぶ場合は、ベンダーのセキュリティ体制を文書でレビューしたうえで、該当するDoD当局から明確な書面承認が必要です。この書面承認がなければ—そして多くの「相当」ケースでは存在しません—DFARS 252.204-7012(d)の契約要件は満たされません。

False Claims Actによるリスクは理論上のものではありません。国防総省のCivil Cyber Fraud Initiativeは、連邦契約でサイバーセキュリティコンプライアンスを偽って申告した請負業者に対してFCAの適用を進めています。認証を受けていないクラウドサービスをCUIに利用しながらDFARSのサイバーセキュリティ要件の遵守を宣言した場合、その認証は虚偽申告とみなされる可能性があります。ベンダー資料の「相当」という表現は、防御にはなりません。

DIBの準備不足ギャップが未検証の主張をさらに危険にする

DIB組織のうち、CMMCレベル2認証の準備ができていると考えるのは46%のみであり、Kiteworks 2025 CMMC Preparedness Reportによると57%がNIST 800-171に対する十分なギャップ分析を完了していません。別の調査では、62%が十分なガバナンスコントロールを欠いていることが判明しています。このような状況下で、独立した評価者による検証が一切ない「相当」主張は、C3PAO評価や契約審査、政府監査時に明らかになる未検証リスクそのものです。

体系的なギャップ分析を完了した組織は、あらゆる評価指標で実質的に成熟度が高く、セキュリティポリシーを完全に文書化している割合は73%に達し、未着手組織の28%と大きな差があります。プラットフォームの認証も同じ成熟度の一部です。基盤が重要なのです。

継承の計算:認証がコンプライアンスコストを変える理由

FedRAMP認証は単なるコンプライアンスのチェックボックスではありません。検証済みコントロールをコンプライアンスプログラムに移転する仕組みです。FedRAMP認証済みプラットフォームを利用すれば、C3PAOは独立した3PAOが連邦ベースラインに基づきすでに検証したコントロールを確認できるため、独自評価の範囲が縮小し、認証までの期間が短縮されます。Kiteworks 2025 CMMC Preparedness Reportのデータもこれを裏付けており、FedRAMPコントロールの継承によりCMMCコンプライアンスのスケジュールが50%以上短縮できることが示されています。契約期限に合わせて認証を進めるDIB請負業者にとって、この短縮は期限内認証と期限後認証の分かれ目となることが多いのです。

Kiteworksの実績がコンプライアンスをどう変えるか

Kiteworksは2017年6月にFedRAMP Moderate認証を取得し、以来、Coalfire Systemsによる年次評価、月次脆弱性スキャン、継続的な監視を通じて継続的に維持しています。このサービスはmarketplace.fedramp.govに掲載されています。さらにKiteworksはFedRAMP High In Process(認証取得プロセス中)であり、Coalfireの3PAO評価および2025年2月のFedRAMP PMOによるReadiness Assessment Report承認を経て、現在も機関によるレビューが進行中です。

この実績により、FedRAMP Moderateコントロールは14のコントロールファミリーすべてにわたりNIST 800-171にマッピングされています。KiteworksがFedRAMP継承でカバーするすべてのコントロールは、C3PAOが一から独自に検証する必要がありません。Kiteworksは、メール、ファイル共有、SFTP、MFT、Webフォーム、AIデータ連携を、単一テナントのFIPS 140-3認証済み、FedRAMP認証アーキテクチャ内で一元管理します。ツールの分断や「相当」パッチワークは不要です。

FedRAMP相当を主張するベンダーに必ず確認すべきこと

まず、マーケットプレイス掲載を確認してください。marketplace.fedramp.govを開き、ベンダーのサービスを検索しましょう。掲載がなければ、そのベンダーはFedRAMP認証を取得していません—営業資料に何と書かれていても同じです。

次に、3PAOを確認してください。誰が、いつ、ベンダーのコントロールを評価したのか?3PAO評価がなければ、そのセキュリティ主張は独立した検証のない自己申告にすぎません。

さらに、認証パッケージを要求してください。認証済みCSPのシステムセキュリティ計画、セキュリティ評価報告書、行動計画とマイルストーンはFedRAMPのセキュアリポジトリから入手可能です。相当を主張するCSPには、こうしたパッケージはありません。

加えて、継続的監視を確認してください。FedRAMP認証には、月次の脆弱性スキャン、年次再評価、監査報告が必須です。相当にはこうした義務はありません。

最後に、DoDによる書面承認を求めてください。DFARS 252.204-7012(d)の下で、認証されていないCSPをCDIに利用するための代替手段は、指定されたDoD担当者による書面での承認です。認証も書面承認もなければ、DFARS要件は満たされません。

FedRAMPおよびFedRAMP認証クラウドサービスプロバイダーのメリットについてさらに詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

いいえ。DFARS 252.204-7012(d)は、対象防衛情報を扱うクラウドサービスが既存の認証またはDoDによる書面承認を通じてFedRAMP Moderate要件を満たすことを求めており、ベンダーの自己評価は認められていません。marketplace.fedramp.govでステータスを確認してください。掲載がなく、書面承認もなければ、契約要件を満たしていない可能性があり、CMMCにおけるCUI取扱義務もリスクにさらされます。

認証済みプラットフォームの場合、C3PAOはすでに独立した3PAOが検証したコントロールを確認するだけでよく、評価範囲が大幅に縮小されます。一方、相当の場合は、利用者側がベンダーのSSPを独自に文書化し、カスタマー責任マトリクスを作成し、未検証のコントロール証拠を提出する必要があります。FedRAMPコントロールの継承により、CMMCのスケジュールを50%以上短縮できるため、契約期限が固定されている場合には大きな違いとなります。

はい。DFARS 252.204-7012は、対象防衛情報や運用上重要なサポートを扱うサブコントラクターにも適用されます。CDIを処理・保存・送信する場合、サプライチェーン内での立場に関係なく、サブセクション(d)のクラウドコンピューティング要件が適用されます。条文の全文およびフローダウン要件はacquisition.govのDFARSテキストで確認できます。

marketplace.fedramp.govでベンダーのサービス名を検索してください。すべてのFedRAMP認証済みクラウドサービスは、認証レベル、スポンサー機関、認証日とともに掲載されています。確認は30秒以内で完了します。掲載がなければ認証されていません—営業資料で何を主張しても、その事実は変わりません。

はい、実質的に効果があります。DIB組織のうちCMMC対応ができていると考えるのは46%のみであり、Kiteworks 2025 CMMC Preparedness Reportによると57%がギャップ分析を完了していません。FedRAMP認証済みプラットフォームは、NIST 800-171にマッピングされた継承可能かつ独立検証済みのコントロールを提供し、C3PAOが一から評価すべき範囲を削減します。この継承こそが、認証済みプラットフォームが提供するコンプライアンスの迅速化メリットであり、相当主張では得られません。

追加リソース

  • ブログ記事 ゼロトラストアーキテクチャ:信頼せず、常に検証
  • 動画 Microsoft GCC High:防衛請負業者がより賢い選択へと動く理由
  • ブログ記事 DSPMで機密データが検出された後の安全な管理方法
  • ブログ記事 ゼロトラストアプローチで生成AIの信頼性を高める
  • 動画 ITリーダーのための機密データ安全管理・保存ガイド

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks