GovRAMP認定：GitLab Dedicated for Governmentで米国自治体のDevSecOpsを加速

米国の州・地方自治体が、セキュアなDevSecOpsへの移行をより速く実現できるようになりました。GitLab Dedicated for GovernmentがGovRAMP認定を取得し、ソフトウェアサプライチェーンのモダナイゼーションを進める機関にとっての重大な調達上の障壁が取り除かれました。シングルテナントソリューションとして、データレジデンシーの強化、インフラレベルの分離、プライベートネットワーク接続などのエンタープライズグレードのDevSecOps機能を提供し、最も厳格なコンプライアンス要件に対応します。SaaSの運用効率と、ミッションに求められるインフラレベルの制御を両立できます。

GitLab Dedicated for GovernmentはGitLab Duoを通じて基盤となるAI機能も搭載しており、GitLab Duo Agent Platformは今年後半に提供予定です。これにより、エージェント型AIもGovRAMP認定の範囲内で利用できるようになります。

Government Risk and Authorization Management Program（GovRAMP）は、州・地方自治体機関がクラウドサービスのセキュリティおよびコンプライアンスを評価するための標準化されたアプローチを提供する、全国的に認められたリスク認定プログラムです。32の州がGovRAMPを採用しており、多くの州が必須化に向けて動いていることから、この認定取得により、要件の厳格化が進む中でも機関が先手を打てる状態になります。

モダナイゼーションとセキュリティの両立

米国の州・地方自治体は、ミッションニーズに基づく最適なソリューション提供の柔軟性を重視したハイブリッド・マルチクラウド戦略を推進しながら、数十億ドル規模のITモダナイゼーション予算を管理しています。このモダナイゼーションの重要性は、NASCIOの2025年度State CIO調査にも表れており、モダナイゼーションが全州のCIOの優先課題において4位に浮上しています。この順位の変化は、州政府におけるテクノロジー変革への重点的な取り組みを示しています。

GitLabは、連邦機関や州政府から市区町村、高等教育機関、あらゆるレベルの政府ミッションを支援する請負業者まで、公共セクター全体のさまざまな顧客にサービスを提供しています。単一のデプロイメントモデルがすべての顧客ニーズに対応できるわけではないと理解しています。

顧客から寄せられているのは、厳格なコンプライアンス要件を満たすために、より高度なデプロイ制御とデータレジデンシーを備えたSaaSソリューションが必要だというニーズです。ハイブリッドクラウド環境のセキュリティ確保、サードパーティのサプライチェーンリスクの軽減、老朽化したITシステムのセキュリティギャップへの対処、そして高度なランサムウェアや国家主体の脅威への防御に取り組む、あらゆるレベルの政府機関でこのニーズが見られます。

GitLab Dedicated for Governmentは、まさにこの課題に対応するために設計されました。政府機関がインフラの構築・管理をスタッフに担わせることなく、エンタープライズグレードのセキュリティとコンプライアンスを維持しながら、最新のアプリケーションを迅速に構築できます。

GitLab Dedicated for Governmentの主なメリット

1. ツールチェーンの統合

ツールチェーンの管理は、DevSecOpsチームにとって引き続き大きな課題です。公共セクター専門家を対象とした2025年グローバルDevSecOps調査によると、60%のチームがソフトウェア開発に5種類以上のツールを使用しており、53%がセキュリティツールも5種類以上使用しています。このようなツールの乱立は、不必要なコストを生むだけでなく、複雑性と脆弱性を高め、サイバー攻撃のリスクを増大させます。

統合は、2年のブランクを経てNASCIOの2026年度トップ10優先課題に復帰しており、サービスとインフラの集約への取り組みが再び注目されています。予算が限られた中でより多くの成果を求められる政府機関にとって——NASCIOが2026年度の第3位優先課題として予算とコスト管理を挙げているように——ツールチェーンの分散は財務上・運用上の課題をもたらします。

GitLab自身の調査では、公共セクターのDevSecOpsプロフェッショナルが、部門横断的なコミュニケーション不足、知識共有の限界、チーム間でのツールの違いといったコラボレーション上の障壁による非効率なプロセスのために、週6時間を費やしていることがわかりました。

GitLab Dedicated for Governmentは、統一されたワークフローによってDevSecOpsチームを単一プラットフォームに集約し、複数ツールの購入や維持管理を不要にします。また、統合はゼロトラストアーキテクチャの実装も支援します。アクセス制御を一元化することで、開発ライフサイクル全体にわたって一貫したセキュリティポリシーと認証要件を適用しやすくなります。

DevSecOpsの変革は継続的な取り組みであり、GitLab Dedicated for Governmentは組織の現状に合わせて対応できる設計になっています。オープンAPIと統合機能により、集中管理されたコンプライアンス対応の開発プラットフォームのメリットを享受しながら、自分たちのペースでツールチェーンを統合できます。

2. データレジデンシーと保護

GitLab Dedicated for Governmentは、米国市民のみによるアクセスを含む政府のデータ主権要件を満たす、GovRAMP認定インフラ上に構築されています。

データ保護をさらに強化するため、本ソリューションはお客様の仮想プライベートクラウドネットワークとGitLabの間のセキュアなプライベート接続をサポートしており、ユーザー、データ、サービスがインターネットに直接公開されることなく、隔離されたインスタンスへのアクセスを確保します。

すべてのデータは最新の暗号化規格を用いて保存時および転送時に暗号化されます。また、保存データに対して独自のAWS Key Management Service暗号化キーを使用するオプションもあり、保存データを完全に管理できます。

GitLab Dedicated for Governmentは継続的なCVEパッチ適用も保証しており、インフラとコンプライアンスの管理をGitLabにオフロードしながら、データの完全な制御を維持できます。

3. GitLabによる管理・ホスティング

本ソリューションはシングルテナント（他のお客様との物理的な分離）、米国拠点、プライベート接続、GitLabによる完全管理・ホスティングで提供されます。政府機関は、インフラ管理ではなくミッションクリティカルな業務にスタッフのリソースを集中させながら、環境に対するエンタープライズグレードの制御を備えた包括的なDevSecOpsプラットフォームの価値を迅速に実感できます。

このアプローチは、人材確保の課題や予算制約に直面している政府機関に特に有効です。GitLabのすべてのメリット——サイクルタイムの短縮、セキュリティの強化、開発者の生産性向上、コンプライアンスの合理化——を、自己ホスティングと比較してより低いトータルコストと短い価値実現期間で享受できます。

4. 包括的なネイティブセキュリティおよびコンプライアンス機能

DevSecOpsプラットフォームに組み込まれたGitLabの包括的なセキュリティおよびコンプライアンス機能は、ソフトウェア開発ライフサイクル全体にわたって優れた制御と保護を提供し、政府機関の重大なセキュリティ課題への対応を支援します。NASCIOの2026年度リストではサイバーセキュリティとリスク管理が第2位に位置しており、組織がイノベーションとモダナイゼーションを推進する中でも、強固な防御能力の維持が引き続き重要視されていることがわかります。

たとえば、静的アプリケーションセキュリティテスト、シークレット検出、コンテナスキャン、動的アプリケーションセキュリティテストを含むネイティブセキュリティスキャナーの完全スイートを利用できます。

依存関係スキャンは深さ制限なしにすべての直接的・推移的依存関係を分析し、スキャン結果は個々のプロジェクトレベルおよびプロジェクトグループ全体で、完全な依存関係リストと共に表示されます。これにより、ソフトウェアサプライチェーン全体でリスクをもたらすコンポーネントを容易に特定できます。

セキュリティの検出結果はマージリクエストウィジェットとパイプラインのセキュリティタブに表示され、開発作業のコンテキスト内で直接ワンクリックでトリアージできます。カスタムルールセットとセキュリティポリシーの自動化により、誤検出を最小化し、脆弱性対応の負荷を軽減します。

個々のプロジェクトのセキュリティにとどまらず、GitLabはセキュリティダッシュボード、セキュリティインベントリ、脆弱性レポート、コンプライアンスセンターを通じて一元的な可視性を提供し、リーダーシップがすべてのプロジェクトとグループ全体のセキュリティ態勢と脆弱性トレンドをリアルタイムで把握できます。コンプライアンスフレームワークとセキュリティポリシーにより、必要なワークフローをコードとして適用でき、チームのスピードを落とさずに一貫したガバナンスを実現します。

詳細な監査イベントがプラットフォーム全体のアクションを記録し、認定の維持に必要な継続的モニタリングをサポートします。多数のアプリケーションにわたるセキュリティを少人数のチームが担うことが多い政府機関にとって、この組織的な管理は特に重要です。

セキュリティスキャン、ポリシー適用、コンプライアンス管理を単一プラットフォームで統合することで、GitLabは政府機関がミッションに求められるガバナンスの厳格さを維持しながら、よりセキュアなソフトウェアを迅速にリリースできるよう支援します。

5. コンプライアンス境界内でのAI活用

GitLab DuoがGitLab Dedicated for GovernmentのGovRAMP認定デプロイメントで利用可能になりました。AIを活用したコード提案、脆弱性の説明と修正、チャット機能をコンプライアンス境界内で直接利用できます——別途調達不要、新たな攻撃対象の増加なし、シャドーAIのリスクもありません。

GitLab Duo Agent Platformの機能——セキュリティ修正、コードレビュー、脆弱性解決のための自律型エージェントを含む——は、今年後半にGitLab Dedicated for Governmentへの提供を予定しています。米国の州・地方自治体機関がコンプライアンス境界の外に踏み出すことなく、ミッションスピードでソフトウェアデリバリーを拡大できます。

GitLab Dedicated for Governmentの導入方法

GitLab Dedicated for Governmentは、SaaSの効率性とインフラレベルの分離・データレジデンシー制御を両立します。

GitLab Dedicated for Governmentがソフトウェアサプライチェーンのセキュリティ確保にどのように役立つか詳細については、セールスチームまでお問い合わせください。新規のお客様も、既存のGitLabインスタンスからの移行をご検討のお客様も、ニーズに合わせた包括的な移行サポートでスムーズな移行を実現します。

注記：2025年、GitLab Dedicated for GovernmentはModerate Impact Level（ATO）でのFedRAMP認定を取得しました。また、GitLabはテキサス州リスクおよび認定管理プログラム認定（TX-RAMP）も取得しており、あらゆるレベルの政府機関に最高水準のセキュリティで対応するというコミットメントを示しています。

このブログ記事は、1933年証券法第27A条（改正済み）および1934年証券取引所法第21E条の意味における「将来予測に関する記述」を含んでいます。これらの記述に反映された予測は合理的であると考えていますが、実際の結果や成果が大幅に異なる可能性のある既知・未知のリスク、不確実性、前提条件、その他の要因の影響を受ける場合があります。これらのリスクおよびその他の要因については、SECへの提出書類の「リスク要因」の項目に詳細が記載されています。法律で義務付けられている場合を除き、このブログ記事の日付以降にこれらの記述を更新または修正する義務を負いません。

関連リンク

• GitLab Dedicated for Government
• 公共セクター向けGitLab
• GitLab、FedRAMP® Moderate認定を取得