AWS セキュリティ&コンプライアンスセンター

Amazon Web Services（AWS）は、きわめて拡張性に優れたクラウドコンピューティングプラットフォームであり、高い可用性と信頼性に加えて、お客様が多様なアプリケーションを構築できる柔軟性も特徴です。徹底したセキュリティとプライバシーを提供するために、AWS は、セキュリティのベストプラクティスに沿ったサービスを構築し、これらのサービスで適切なセキュリティ機能を提供し、これらの機能の使用方法を文書化しています。また、AWS のお客様は、これらの機能とベストプラクティスを使用して、安全なアプリケーション環境を適切に設計する必要があります。信用や信頼性を維持する上で、お客様がデータの匿名性、完全性、可用性を実現できるようにすることが、AWS にとって最も重要なことです。

AWS は、ホワイトペーパー、レポート、認定、およびその他のサードパーティの証明書を通して、当社の IT 統制環境に関する幅広い情報をお客様にご提供しています。この情報は、お客様が使用する AWS サービスに関連した統制、およびそれらの統制がどのように独立系監査人によって検証されているかをお客様にご理解いたただくためのものです。この情報はまた、お客様の拡張された IT 環境内の統制が効果的に機能しているかどうかを配慮・検証するのにも有用です。

---

---

概要

当社は以下のアプローチを高いレベルで採用しながら、AWS インフラストラクチャの安全性を守っています。

• レポート、認定、第三者認証。AWS はこれまでに、複数の SAS70 Type II 監査を正常に完了し、現在は Service Organization Control 1（SOC 1）、Type 2 レポートを SSAE16 および ISAE3402 の両方のプロ基準と、Service Organization Controls 2（SOC 2）レポートの下で発行しています。加えて、AWS は ISO 27001 認証と、Payment Card Industry（PCI）データセキュリティ基準（DSS）レベル1サービスプロバイダ認定も取得済みです。パブリックセクター関連の認定としては、AWS は米国連邦調達庁（GSA）から FISMA Moderate レベルでの運用が認められているほか、DIACAP（Defense Information Assurance Certification and Accreditation Program）の下での ATO（Authorities to Operate）アプリケーションのプラットフォームでもあります。インフラストラクチャとサービスのセキュリティを実現するため、当社は続けて適切なセキュリティ認定を取得し、監査を実施していきます。AWS クラウドにおけるリスクおよびコンプライアンス アクティビティの詳細については、Amazon Web Services: リスク＆コンプライアンスホワイトペーパーをご参照ください。
• 物理的セキュリティ: Amazon は大規模データセンターの設計、構築、運用において、長年の経験を有しています。AWS のインフラストラクチャは、Amazon が管理する世界中のデータセンターにあります。正式な業務上の必要性を有している Amazon 内の担当者のみが、これらのデータセンターの実際のロケーションを知っています。そしてデータセンターそれ自体は、様々な物理的統制で守られており、無許可のアクセスを防いでいます。
• サービスのセキュリティ: AWS クラウド内の各サービスはセキュリティを考慮して設計されており、お客様が求める柔軟性を犠牲にすることなく、無許可のアクセスまたは利用を禁止する数多くの機能を含んでいます。AWS クラウドにおける各サービスのセキュリティ機能の詳細については、Amazon Web Services: セキュリティプロセス概要ホワイトペーパーをご参照ください。
• データプライバシー: AWS では、ユーザーは AWS クラウド内の個人用または事業用データを暗号化することができ、サービスのバックアップや冗長手順が発行されます。よって、AWS を経由してデータがどのようにフローするのかについて、お客様により良くご理解いただけます。AWS クラウドにおける各サービスのデータプライバシーやバックアップ手順の詳細については、上述の Amazon Web Services: セキュリティプロセス概要ホワイトペーパーをご参照ください。

AWS セキュリティセンターは、技術情報、ツール、規範ガイダンスへのリンクを提供しています。これらは、AWS クラウドでセキュリティで保護されたアプリケーションを構築して管理する補助となるよう設計されています。当社の目的は、このフォーラムを使用して、セキュリティ速報を積極的に開発者に通知できるようにすることです。こうした透明性は、AWS と当社のお客様の間の信頼の柱となるものです。

↑ 上へ

---

認定とサードパーティによる証明

SOC 1/SSAE 16/ISAE 3402

Amazon Web Services は現在、Service Organization Controls 1（SOC 1）、Type II レポートを発行しています。このレポートの監査は、保証業務基準書第16号（SSAE 16）および国際保証業務基準書第3402号（ISAE 3402）プロ基準に従って実施されます。この2つの基準レポートは、米国および国際的な監査機関の監査における幅広い要件を満たすことができます。SOC 1レポートの監査は、AWS の統制目標が適切に設計されていること、およびカスタマーデータを保護するために定義された個々の統制が効果的に機能していることを証明するものです。SOC 1レポートへの当社の取り組みは現在も続けられており、定期的な監査プロセスを継続する予定です。この監査は、監査基準書第 70 号（SAS 70）Type II レポートに代わって行われているものです。

SOC 2

SOC 1 レポートに加え、AWS は Service Organization Controls 2（SOC 2）、Type 2 レポートを発行しています。管理の評価における SOC 1 と同様、SOC 2 レポートは、その管理の評価を、米国公認会計士協会（AICPA）の信用提供の原則（Trust Services Principles）で定められている基準に拡張する証明レポートです。これらの原則では、AWS などのサービス組織に適用されるセキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関連する主要業務管理が定義されています。AWS SOC 2 は、AICPA の信用提供の原則基準によって定められているセキュリティ原則の基準を満たす、管理の設計および運用上の有効性の評価です。このレポートでは、リーディングプラクティスの事前定義された業界標準に基づいて AWS セキュリティがさらに透明化され、顧客データ保護に対する AWS の取り組みが詳細に示されています。

FISMA、DIACAP、FedRAMP

AWS では、米国政府機関のシステムを連邦情報セキュリティマネジメント法（Federal Information Security Management Act/FISMA）に準拠した状態で運用することが可能です。AWS インフラストラクチャは、システム所有者の承認プロセスの一環として、多様な政府機関システムの独立査定人によって評価されています。多数の米国政府機関の勤務者と国防省（DoD）が、NIST 800-37 および DoD Information Assurance Certification and Accreditation Process（DIACAP）に定義されているリスク管理フレームワーク（RMF）プロセスに従い、AWS クラウドでホストされているシステムのセキュリティ認可を達成しています。AWS の安全なインフラストラクチャによって、米国政府機関はクラウドコンピューティングのユースケースを拡張し、機密性の高い政府データとアプリケーションをクラウドにデプロイすると同時に、連邦規格の厳格なセキュリティ要件に準拠しています。

Federal Risk and Authorization Management Program（FedRAMP）とは、クラウドサービスのセキュリティ評価、認可、継続的な監視を標準化するために設計された米国政府のプログラムです。AWS は FedRAMP の準拠プログラムを運営しており、認可を受けた Third Party Assessment Organization（3PAO）、FedRAMP オフィス、その他の米国政府機関と連携して、FedRAMP 要件の準拠を達成しています。

PCI DSS レベル 1

AWS は、レベル1の PCI コンプライアンスを実現しています。当社は、Payment Card Industry（PCI）データセキュリティ基準（Data Security Standard/DSS）下でレベル1のサービスプロバイダとして正常に検証されています。マーチャントや他のサービスプロバイダは、PCI コンプライアンスの技術インフラストラクチャ上でアプリケーションを実行して、クラウド内のクレジットカード情報を格納、処理、送信することができるようになりました。PCI コンプライアンス テクノロジーインフラストラクチャ上でアプリケーションを実行できることで、その他の企業にもメリットがあります。PCI 検証済みサービスとしては、Amazon Elastic Compute Cloud（EC2）、Amazon Simple Storage Service（S3）、Amazon Elastic Block Storage（EBS）および Amazon Virtual Private Cloud（VPC）、Amazon Relational Database Service（RDS）、Amazon Elastic Load Balancing（ELB）、Amazon Identity and Access Management（IAM）、および基盤となる物理インフラストラクチャと AWS Management Environment があります。

詳細については、当社の PCI DSS レベル FAQ をご参照ください。

ISO 27001

AWS は、当社のインフラストラクチャ、データセンター、およびサービスをカバーする情報セキュリティマネジメントシステム（Information Security Management System/ISMS）について、ISO 27001 の認定 を受けました。これには、Amazon Elastic Compute Cloud（Amazon EC2）、Amazon Simple Storage Service（Amazon S3）、Amazon Virtual Private Cloud（Amazon VPC）が含まれます。ISO 27001/27002 は世界で広く採用されているセキュリティ基準で、会社とカスタマー情報の管理の体系的なアプローチの要件とベストプラクティスを定めるものです。これは、定期的リスク査定に基づいています。認証を取得するためには、会社とカスタマー情報の機密性、完全性、および可用性に影響を与える情報セキュリティリスクを管理する体系的かつ継続的なアプローチが会社にあることを示す必要があります。この認定は、透明性あるセキュリティ管理や慣行を実行するという Amazon の取り組みを強調するものです。AWS の ISO 27001 認証には、AWS の全リージョンのデータセンターが含まれており、AWS はこの認証を維持するための正式なプログラムを確立済みです。ISO 認証書の写し（AWS のお客様に公開しています）には、ISMS のサービスと地理的範囲が記載されています。

詳細については、ISO 27001 FAQ をご覧ください。

武器規制国際交渉規則へのコンプライアンス

AWS GovCloud（米国）リージョンは、武器規制国際交渉規則（U.S. International Traffic in Arms Regulations/ITAR）コンプライアンスをサポートしています。包括的な ITAR コンプライアンスプログラム管理の一環として、ITAR 輸出規制の対象となる企業は、保護されたデータへのアクセスを米国人に制限し、およびそのデータの物理的なロケーションを米国の土地に制限することによって、意図しない輸出を制御する必要があります。AWS GovCloud（米国）は、物理的に米国に位置し、そこでは AWS 人事によるアクセスを米国人に制限しているという環境を提供しているため、それによって適格企業は、ITAR の下で、保護された記事およびデータを送信、処理、格納することができます。AWS GovCloud（米国）環境は、この要件において、カスタマーの輸出コンプライアンスプログラムをサポートする適切な統制がなされているかどうかを検証するために、独立したサードパーティによる監査を受けています。

FIPS 140-2

連邦情報処理規格（Federal Information Processing Standards/FIPS）出版物140-2は、機密情報を保護する暗号モジュールのセキュリティ要件を指定する米国政府のセキュリティ基準です。FIPS 140-2 への準拠を必要とするお客様をサポートするために、AWS GovCloud（米国）内の Amazon Virtual Private Cloud VPN エンドポイントおよび SSL 終端は、FIPS 140-2 検証済みハードウェアを使用して運用されています。AWS は、AWS GovCloud（米国）環境をご利用いただくときのコンプライアンス管理に役立つ情報をお客様に提供します。

コンプライアンスに関するその他のイニシアティブ

柔軟性を特徴とし、お客様によるコントロールが可能な AWS プラットフォームでは、業種特有のコンプライアンス要件を満たすソリューションのデプロイが可能です。

• HIPAA: HIPAA のセキュリティおよびプライバシーに関する規則 に準拠したヘルスケアアプリケーションが、お客様によって AWS 上で構築されています。AWS が備えるセキュリティ統制機能は、お客様の電子健康記録のセキュリティ確保に役立っています。関連するホワイトペーパーをご覧ください（下記にリンクがあります）。
• CSA: AWS は Cloud Security Alliance（CSA）の「Consensus Assessments Initiative Questionnaire（CAIQ）」に回答済みです。CSA が発行するこの調査票は、どのようなセキュリティ統制が AWS の IaaS（Infrastructure as a Service）サービス内に存在するかを文書化する手段の 1 つとなっています。CAIQ は、クラウドの利用者やクラウド監査担当者の視点からクラウドプロバイダーに尋ねる、140 項目を超える質問で構成されています。AWS のリスクとコンプライアンスに関するホワイトペーパーの付録 A で、記入済みの質問表をご覧いただけます。
• MPAA: 米国映画協会（MPAA）は、保護対象メディアおよびコンテンツを安全に格納、処理、および配信できるように一連のベストプラクティスを確立しました。メディア企業ではこのベストプラクティスを、コンテンツとインフラストラクチャのリスクとセキュリティを評価する手段として使用しています。AWS は MPAA のベストプラクティスに合っていることが実証されており、AWS インフラストラクチャはすべての適用可能な MPAA インフラストラクチャコントロールに準拠しています。MPAA は「証明書」を提供していませんが、メディア業界のお客様は AWS の MPAA 型コンテンツのリスク査定および評価を補足する文書を依頼することができます。

↑ 上へ

---

参考資料

安全なクラウドコンピューティングプラットフォームの提供には、社内インフラストラクチャのための様々なベストプラクティスの実施や、ホスティング インフラストラクチャ環境に特異的なその他数多くの考慮事項が含まれます。Amazon Web Services: セキュリティプロセス概要のホワイトペーパーは、安全なクラウドコンピューティングシステムを提供する上での参考資料や AWS 哲学概要を提供しています。

• Amazon Web Services セキュリティプロセス概要のホワイトペーパー （pdf）
• セキュリティのベストプラクティス （pdf）
• AWS による HIPAA 準拠医療データアプリケーション作成のホワイトペーパー （pdf）
• AWS リスクとコンプライアンスのホワイトペーパー （pdf）

↑ 上へ

---

セキュリティ特徴

AWS は、自分自身を識別する方法、および AWS アカウント、お客様がサインアップしている AWS サービス、これらのサービスがホストしている AWS リ ソースに安全にアクセスするいろいろな方法を提供してます。「お客様のアカウント」にあるセキュリティ証明書ページで、当社がサポートする証明書の完全なリストをご覧いただけます。さらに Amazon は、AWS アカウントをより保護し、アクセスをより制御できるよう、その他のセキュリティオプション（Identity and Access Management（IAM）、Multi-Factor Authentication（MFA）、およびクラウドハードウェアセキュリティモジュール（HSM））を提供しています。

AWS Identity and Access Management（IAM）

AWS Identity and Access Management（IAM）により、複数のユーザーを作成し、AWS アカウント内でこれらのユーザーごとにアクセス許可を管理することができます。ユーザーは、AWS サービスへのアクセスに使われる独特なセキュリティ証明書を持つ（お客様の AWS アカウント内の）認証です。IAM では、パスワードやアクセスキー共有の必要性が排除され、必要に応じてユーザーのアクセスを簡単に有効または無効にすることができます。

IAM では、AWS アカウント内のすべてのユーザーに独特な証明書を割り当て、業務を実行するために AWS リソースにアクセスする必要があるユーザーのみにアクセス許可を付与することによって、最小の権限といったセキュリティのベストプラクティスを実装することができます。IAM は初期設定から安全です。新しいユーザーは、アクセス許可が明示的に付与されるまで、AWS へアクセスすることはできません。

IAM では、AWS アカウントの証明書使用を最小限に抑えることができます。その代わり、AWS リソースとのすべての対話は、IAM ユーザーのセキュリティ証明書のコンテキスト内で行われる必要があります。AWS Identity and Access Management（IAM）の詳細については、当社の IAM ページをご参照ください。

AWS Multi-Factor Authentication（AWS MFA）

AWS Multi-Factor Authentication（AWS MFA）は、セキュリティをさらに強化するための機能です。AWS アカウントの設定と、アカウントからアクセス可能な AWS リソースの管理に関して、さらに詳細なコントロールが可能になります。このオプトイン機能が有効になっているときは、標準のユーザー名とパスワードのほかに、6桁の1回限定使用コードを入力するとアクセスが許可されます。この1回限定使用コードは、ユーザー本人が物理的に保有している認証デバイスから、または携帯電話の専用アプリケーションから入手します。これが Multi-Factor Authentication（多要素認証）と呼ばれるのは、2つの要素の確認後にアクセス権がアカウントに付与されるからです。ユーザーは、AWS メール ID とパスワード（ユーザー自身が知っている第1の「要素」）と、認証デバイスからの特定のコード（ユーザーが入手した第2の「要素」）の両方を入力する必要があります。Multi-Factor Authentication は、AWS アカウントに対して有効化するだけでなく、AWS アカウントの下で IAM を使用して作成されたユーザーに対して有効にすることもできます。

認証デバイスは、サードパーティのプロバイダから簡単に入手できます。該当するソフトウェアを携帯電話にダウンロードしてから AWS ウェブサイト経由で設定することもできます。多要素認証についての詳細は、ここでご覧になれます。

キーローテーション（Key Rotation）

パスワードを頻繁に変更することが重要であるのと同じ理由で、AWS は、アクセスキーと証明書を定期的に循環させることをお勧めしています。アプリケーションの可用性に影響を与えることなくこれを行えるよう、AWS は複数の並列アクセスキーと証明書をサポートしています。この機能を用いて、アプリケーションを止める必要もなく、定期的にオペレーションの内外でキーと証明書を循環させることができます。これによってアクセスキーまたは証明書を紛失したり、その情報が漏洩したりするリスクを軽減できます。IAM API を利用すると、AWS アカウントのアクセスキーだけでなく、AWS アカウントの下に作成されたユーザーのアクセスキーも循環させることができます。

この機能についての詳細、またはキーローテーションの使用開始については、ここをクリックしてください。

AWS CloudHSM

AWS CloudHSM は、AWS クラウド内の専用ハードウェアセキュリティモジュール（HSM）を使用して、データセキュリティに対する厳しい企業コンプライアンス要件、契約上のコンプライアンス要件、および法令遵守の要件を満たせるようサポートするサービスです。AWS のデータ保護とセキュリティソリューションは大多数のアプリケーションの規制やコンプライアンスの要件を上回っていますが、CloudHSM は、暗号化とキーストレージに対する HSM アプライアンスの使用が必須のアプリケーションのために設計されています。CloudHSM 以前は、オンプレミスデータセンターで HSM アプライアンスを使用する以外の選択肢はありませんでした。このため一部のアプリケーションのクラウドへの移行が妨げられたり、クラウドとデータセンターの間のネットワークの遅延により、HSM を使用するクラウドベースのアプリケーションのパフォーマンスが低下する場合がありました。CloudHSM により、AWS データセンターの HSM アプライアンス内に暗号キーを安全に保存して使用できます。AWS CloudHSM によって、お客様はキーと機密データに対する完全な所有権、制御、アクセスを維持し、Amazon はお客様のアプリケーションとデータに近い HSM アプライアンスを管理します。CloudHSM アプライアンスが AWS のワークロードと物理的に近いことから、ネットワークのレイテンシーは最小限に抑えられ、アプリケーションのパフォーマンスは最大限に高められます。AWS CloudHSM の詳細については、こちらをご覧ください。

↑ 上へ

---

AWS Public PGP キー

AWS セキュリティチームは、お客様とのコミュニケーションを希望しています。当社では、セキュリティ脆弱性のレポートおよび侵入テストのリクエストの手順が確立しています。また、お客様が送る必要がある機密性のあるコミュニケーションのために、署名済みの PGP キーも作成しました。

↑ 上へ