引用 FedRAMP公式FAQ :
FedRAMP要件には、NISTの標準NISTベースラインコントロールを超える追加のコントロールが含まれますSP 800-53リビジョン4。これらの追加のコントロールは、クラウドコンピューティングの独自の要素に対応し、すべての連邦データがクラウド環境で安全であることを保証します。
ただし、Fedrampの公式Webサイト( 「HIGH」についてはこちらを参照 、および他のレベルの同様のリンク)を介してコントロールのリストをダウンロードすると、NIST 800-53コントロールのようになります。 FedRAMP影響レベルに応じて、NISTコントロールのサブセットが選択されます。
では、これらの「NISTベースラインを超える追加の制御」とは何でしょうか。ウェブ上では見つかりません。
FedRAMPが「補完的なコントロール」と呼ぶものは、FedRAMPに選択された従来のNISTの「セキュリティコントロール拡張機能」であり、通常のNISTテンプレートで利用できます。
ただ語彙の問題でした。