AWS セキュリティ&コンプライアンスセンター

Amazon Web Services(AWS)は可用性、信頼性、拡張性が高いクラウドコンピューティング プラットフォームを提供します。またお客様に、様々な種類のアプリケーションを構築することができる柔軟性を提供します。徹底したセキュリティとプライバシーを提供するために、AWS は、セキュリティのベストプラクティスに沿ったサービスを構築し、これらのサービスで適切なセキュリティ機能を提供し、これらの機能の使用方法を文書化しています。また、AWS のお客様は、これらの機能とベストプラクティスを使用して、安全なアプリケーション環境を適切に設計する必要があります。信用や信頼性を維持する上で、お客様がデータの匿名性、完全性、可用性を実現できるようにすることが、AWS にとって最も重要なことです。

AWS は、白書、レポート、認定、およびその他のサードパーティの証明書を通して、当社の IT 統制環境に関する幅広い情報をお客様にご提供しています。この情報は、お客様が使用する AWS サービスに関連した統制、およびそれらの統制がどのように独立系監査人によって検証されているかをお客様にご理解いたただくためのものです。この情報はまた、お客様の拡張された IT 環境内の統制が効果的に機能しているかどうかを配慮・検証するのにも有用です。

このページには、以下の情報カテゴリが含まれています。クリックして以下へジャンプ:

概要

当社は以下のアプローチを高いレベルで採用しながら、AWS インフラストラクチャの安全性を守っています。

  • 認証と認定: AWS は、過去正常に複数の SAS70 Type II の監査を完了し、2011年9月30日の時点で、SSAE16 と ISAE3402 プロ基準の両方で発行された Service Organization Control 1(SOC 1)レポートを発行しました。加えて、AWS は ISO27001 認証および Payment Card Industry(PCI)データセキュリティ基準(Data Security Standard/DSS)レベル1サービスプロバイダ認定を取得するとともに、FISMA-Moderate レベルでの運用に必要な統制実装および独立セキュリティテストを完了しています。インフラストラクチャとサービスのセキュリティを実現するため、当社は続けて適切なセキュリティ認定を取得し、監査を実施していきます。AWS クラウドにおけるリスクおよびコンプライアンス アクティビティの詳細については、Amazon Web Service: リスク&コンプライアンス白書をご参照ください。
  • 物理的セキュリティ: Amazon は大規模データセンターの設計、構築、運用において、長年の経験を有しています。AWS のインフラストラクチャは、Amazon が管理する世界中のデータセンターにあります。正式な業務上の必要性を有している Amazon 内の担当者のみが、これらのデータセンターの実際のロケーションを知っています。そしてデータセンターそれ自体は、様々な物理的統制で守られており、無許可のアクセスを防いでいます。
  • サービスのセキュリティ: AWS クラウド内の各サービスはセキュリティを考慮して設計されており、お客様が求める柔軟性を犠牲にすることなく、無許可のアクセスまたは利用を禁止する数多くの機能を含んでいます。AWS クラウドにおける各サービスのセキュリティ機能の詳細については、Amazon Web Services: セキュリティプロセス概要白書をご参照ください。
  • データプライバシー: AWS では、ユーザーは AWS クラウド内の個人用または事業用データを暗号化することができ、サービスのバックアップや冗長手順が発行されます。よって、AWS を経由してデータがどのようにフローするのかについて、お客様により良くご理解いただけます。AWS クラウドにおける各サービスのデータプライバシーやバックアップ手順の詳細については、上述の Amazon Web Services: セキュリティプロセス概要白書をご参照ください。

AWS セキュリティセンターは、技術情報、ツール、規範ガイダンスへのリンクを提供しています。これらは、AWS クラウドでセキュリティで保護されたアプリケーションを構築して管理する補助となるよう設計されています。当社の目的は、このフォーラムを使用して、セキュリティ速報を積極的に開発者に通知できるようにすることです。こうした透明性は、AWS と当社のお客様の間の信頼の柱となるものです。

上へ

認証と認定

SOC 1/SSAE 16/ISAE 3402

Amazon Web Services は現在、Service Organization Controls 1(SOC 1)、Type II レポートを発行しています。このレポートの監査は、保証業務基準書第16号(SSAE 16)および国際保証業務基準書第3402号(ISAE 3402)プロ基準に従って実施されます。この2つの基準レポートは、米国および国際的な監査機関の監査における幅広い要件を満たすことができます。SOC 1レポートの監査は、AWS の統制目標が適切に設計されていること、およびカスタマーデータを保護するために定義された個々の統制が効果的に機能していることを証明するものです。SOC 1レポートへの当社の取り組みは現在も続けられており、定期的な監査プロセスを継続する予定です。この監査は、監査基準書第70号(SAS 70)Type II レポートに代わって行われているものです。

FISMA Moderate

AWS では、米国政府機関のシステムを連邦情報セキュリティマネジメント法(Federal Information Security Management Act/FISMA)に準拠した状態で運用することが可能です。FISMA は、国立標準技術研究所特別出版物800-53、改訂3基準に基づいて、そのデータとインフラストラクチャの情報セキュリティシステムを開発し、文書化し、実装することを、連邦政府機関に要求しています。FISMA Moderate レベルの承認と認定を受けるには、AWS は豊富な一式のセキュリティ構成および統制を実装し、機能させている必要があります。これには、物理的および仮想インフラストラクチャを保護するために使用される管理、運用、技術的プロセスの文書化、そして確立されたプロセスおよび統制のサードパーティによる監査が含まれます。AWS は、FISMA-Moderate レベルでの運用に必要な統制実装を完了するとともに独立セキュリティテストおよび評価に合格しています。AWS におけるこれらの統制および監査は文書化されており、政府機関のシステムが FISMA-Moderate レベルにあることの証明にご利用いただけます。

AWS はまた、FISMA-LOW レベルで機能することも認証・認定されています。

PCI DSS レベル 1

AWS は、レベル1の PCI コンプライアンスを実現しています。当社は、Payment Card Industry(PCI)データセキュリティ基準(Data Security Standard/DSS)下でレベル1のサービスプロバイダとして正常に検証されています。マーチャントや他のサービスプロバイダは、PCI コンプライアンスの技術インフラストラクチャ上でアプリケーションを実行して、クラウド内のクレジットカード情報を格納、処理、送信することができるようになりました。PCI コンプライアンス テクノロジーインフラストラクチャ上でアプリケーションを実行できることで、その他の企業にもメリットがあります。PCI 検証済みサービスとしては、Amazon Elastic Compute Cloud(EC2)、Amazon Simple Storage Service(S3)、Amazon Elastic Block Storage(EBS)および Amazon Virtual Private Cloud(VPC)、Amazon Relational Database Service(RDS)、Amazon Elastic Load Balancing(ELB)、Amazon Identity and Access Management(IAM)、および基盤となる物理インフラストラクチャと AWS Management Environment があります。

詳細については、当社の PCI DSS レベル FAQ をご参照ください。

ISO 27001

CertifyPoint Seal AWS は、当社のインフラストラクチャ、データセンター、およびサービスをカバーする情報セキュリティマネジメントシステム(Information Security Management System/ISMS)の ISO 27001 認証を取得しました。これには、Amazon Elastic Compute Cloud(Amazon EC2)、Amazon Simple Storage Service(Amazon S3)、Amazon Virtual Private Cloud(Amazon VPC)が含まれます。ISO 27001/27002 は世界で広く採用されているセキュリティ基準で、会社とカスタマー情報の管理の体系的なアプローチの要件とベストプラクティスを定めるものです。これは、定期的リスク査定に基づいています。認証を取得するためには、会社とカスタマー情報の機密性、完全性、および可用性に影響を与える情報セキュリティリスクを管理する体系的かつ継続的なアプローチが会社にあることを示す必要があります。この認定は、透明性あるセキュリティ管理や慣行を実行するという Amazon の取り組みを強調するものです。AWS の ISO 27001 認証には、世界各地すべてのリージョンにおける AWS のデータセンターが含まれており、認証を維持するために AWS は正式なプログラムを確立しています。AWS のお客様にご覧いただける当社 ISO 認証のコピーには、ISMS の適用範囲と当社の ISO 27001 認証がリストされたデータセンターが示されています。

詳細については、当社の ISO 27001 FAQ をご覧ください。

武器規制国際交渉規則へのコンプライアンス

AWS GovCloud(米国)リージョンは、武器規制国際交渉規則(U.S. International Traffic in Arms Regulations/ITAR)コンプライアンスをサポートしています。包括的な ITAR コンプライアンスプログラム管理の一環として、ITAR 輸出規制の対象となる企業は、保護されたデータへのアクセスを米国人に制限し、およびそのデータの物理的なロケーションを米国の土地に制限することによって、意図しない輸出を制御する必要があります。AWS GovCloud(米国)は、物理的に米国に位置し、そこでは AWS 人事によるアクセスを米国人に制限しているという環境を提供しているため、それによって適格企業は、ITAR の下で、保護された記事およびデータを送信、処理、格納することができます。AWS GovCloud(米国)環境は、この要件において、カスタマーの輸出コンプライアンスプログラムをサポートする適切な統制がなされているかどうかを検証するために、独立したサードパーティによる監査を受けています。

FIPS 140-2

連邦情報処理規格(Federal Information Processing Standards/FIPS)出版物140-2は、機密情報を保護する暗号モジュールのセキュリティ要件を指定する米国政府のセキュリティ基準です。FIPS 140-2 要件でカスタマーをサポートするため、AWS GovCloud(米国)の Amazon Virtual Private Cloud VPN エンドポイントおよび SSL 終端 Load Balancer は、FIPS 140-2 検証済みハードウェアを使用して運用しています。AWS は、お客様が AWS GovCloud(米国)環境を使用する際は、AWS GovCloud(米国)のお客様と協働し、コンプライアンス管理に役立つ必要な情報を提供しています。

HIPAA

AWS プラットフォームが提供する柔軟性とカスタマーコントロールによって、産業特有の認証要件を満たすソリューションを配備することができます。例えば、HIPPA セキュリティ・プライバシー規則に準拠した医療アプリケーションを AWS で構築したお客様もいます。

上へ

参考資料

安全なクラウドコンピューティングプラットフォームの提供には、社内インフラストラクチャのための様々なベストプラクティスの実施や、ホスティング インフラストラクチャ環境に特異的なその他数多くの考慮事項が含まれます。Amazon Web Services: セキュリティプロセス概要白書は、安全なクラウドコンピューティングシステムを提供する上での参考資料や AWS 哲学概要を提供しています。

上へ

セキュリティ特徴

AWS は、自分自身を識別する方法、および AWS アカウント、お客様がサインアップしている AWS サービス、これらのサービスがホストしている AWS リ ソースに安全にアクセスするいろいろな方法を提供してます。「お客様のアカウント」にあるセキュリティ証明書ページで、当社がサポートする証明書の完全なリストをご覧いただけます。さらに当社は、AWS アカウントをより保護し、アクセスをよりコントロールできるよう、その他のセキュリティオプションを提供しています。Identity and Access Management(IAM)、多要素認証(Multi-Factor Authentication/MFA)、およびキーローテーション(Key Rotation)です。

AWS Identity and Access Management(IAM)

AWS Identity and Access Management(IAM)により、複数のユーザーを作成し、AWS アカウント内でこれらのユーザーごとにアクセス許可を管理することができます。ユーザーは、AWS サービスへのアクセスに使われる独特なセキュリティ証明書を持つ(お客様の AWS アカウント内の)認証です。IAM では、パスワードやアクセスキー共有の必要性が排除され、必要に応じてユーザーのアクセスを簡単に有効または無効にすることができます。

IAM では、AWS アカウント内のすべてのユーザーに独特な証明書を割り当て、業務を実行するために AWS リソースにアクセスする必要があるユーザーのみにアクセス許可を付与することによって、最小の権限といったセキュリティのベストプラクティスを実装することができます。IAM は初期設定から安全です。新しいユーザーは、アクセス許可が明示的に付与されるまで、AWS へアクセスすることはできません。

IAM では、AWS アカウントの証明書使用を最小限に抑えることができます。その代わり、AWS リソースとのすべての対話は、IAM ユーザーのセキュリティ証明書のコンテキスト内で行われる必要があります。AWS Identity and Access Management(IAM)の詳細については、当社の IAM ページをご参照ください

多要素認証(AWS Multi-Factor Authentication/AWS MFA)

AWS 多要素認証(AWS Multi-Factor Authentication/AWS MFA)は、AWS アカウント設定とアカウントが加入している AWS リソースの管理に対して強化されたコントロールを提供する補助的なセキュリティレイヤーです。オプトイン機能を有効にすると、アクセスが許可される前に、標準のユーザー名とパスワード証明書に加えて、6桁のシングルユース(1回限定使用)のコードを提供する必要があります。お客様の物理的所有物内に保管されている認証デバイスから、このシングルユース(1回限定使用)のコードを取得します。アカウントへアクセス権が与えられる前に2つの要素が確認されるため、これは多要素認証と呼ばれています。Amazon Eメール ID とパスワード(最初の「要素」: お客様が知っているもの)および認証デバイスからの正確なコード(2番目の「要素」: お客様が保有するもの)の両方を入力する必要があります。多要素認証は、お客様の AWS アカウントだけでなく、IAM を使用して AWS アカウントに作成されているユーザーにも有効にすることができます。

サードパーティのプロバイダから認証デバイスを取得し、AWS ウェブサイト経由で使用のためのセットアップを行うことは簡単です。多要素認証についての詳細は、ここでご覧になれます。

キーローテーション(Key Rotation)

パスワードを頻繁に変更することが重要であるのと同じ理由で、AWS は、アクセスキーと証明書を定期的に循環させることをお勧めしています。アプリケーションの可用性に影響を与えることなくこれを行えるよう、AWS は複数の並列アクセスキーと証明書をサポートしています。この機能を用いて、アプリケーションを止める必要もなく、定期的にオペレーションの内外でキーと証明書を循環させることができます。これによってアクセスキーまたは証明書を紛失したり、その情報が漏洩したりするリスクを軽減できます。IAM API により、AWS アカウントのアクセスキーだけでなく、AWS アカウントで作成されたユーザーも交替させることができます。

この機能についての詳細、またはキーローテーションの使用開始については、ここをクリックしてください。

上へ

AWS Public PGP キー

AWS セキュリティチームは、お客様とのコミュニケーションを希望しています。当社では、セキュリティ脆弱性のレポートおよび侵入テストのリクエストの手順が確立しています。また、お客様が送る必要がある機密性のあるコミュニケーションのために、署名済みの PGP キーも作成しました。

上へ





お客様の声
「ネットワーク攻撃に対するより強力な保護やシステム不正使用のリアルタイムの検出など、コンピュータセキュリティに様々な改善がなされています。」

- Recovery.gov の AWS クラウドへの移行により期待されるセキュリティ面での利得に関して。景気回復・説明責任透明性委員会(Recovery Accountability and Transparency Board)



©2011, Amazon Web Services LLC or its affiliates. All rights reserved.