Amazon Web Services ブログ

AWS Marketplace ベンダーインサイト – サードパーティソフトウェアのリスク評価を簡素化

AWS Marketplace ベンダーインサイトはAWS Marketplace の新機能です。これにより、AWS Marketplace からソリューションを調達する際のサードパーティソフトウェアのリスク評価を簡素化します。

データのプライバシーとレジデンシー、アプリケーションセキュリティ、アクセスコントロールなどのセキュリティとコンプライアンス情報を 1 つの統合ダッシュボードにまとめることで、サードパーティソフトウェアが継続的に業界標準を満たしていることを確認できます。

セキュリティエンジニアとして、サードパーティソフトウェアのリスク評価を数か月ではなく数日で完了できるようになりました。次のことができるようになりました。

  • ベンダーインサイトのプロファイルを検索してアクセスすることで、セキュリティと認定の基準を満たす AWS Marketplace の製品をすばやく見つける
  • ベンダーのセキュリティツールと監査レポートから収集された証拠を用いて、現在の検証済み情報にアクセスしてダウンロードする。レポートは AWS Artifact のサードパーティレポート (現在はプレビューで利用可能) からダウンロードできます。
  • 調達後のソフトウェアのセキュリティ態勢を監視し、セキュリティとコンプライアンスのイベントに関する通知を受け取る。

ソフトウェアベンダーとして、リスク評価情報を求める購入者のリクエストに応えるための運用上の負担を軽減できるようになりました。これにより、顧客はセルフサービスでアクセスできるようになります。次のことができるようになりました。

  • ISO 27001 または SOC2 Type 2 レポートをアップロードし、AWS Audit Manager によるソフトウェアリスク評価を完了して、製品のセキュリティプロファイルを構築する
  • ISO 27001 や SOC2 タイプ 2 などのコンプライアンスレポートを、AWS Artifact のサードパーティレポート (プレビュー) を使用して保存および共有する
  • ベンダーインサイトに保存されているセキュリティコントロールとコンプライアンスアーティファクトの表示を求める購入者のリクエストを表示して承認する

実際の動作
AWS Marketplace でソリューションを調達したいと思います。しかし、セキュリティエンジニアとして、製品を購入する前に、そのコンプライアンスを確認したいと思います。AWS マネジメントコンソールAWS Marketplace ページに移動します。左側のファセット検索を使用して、ISO 27001に準拠しているベンダーを選択します

AWS Marketplace ベンダーインサイト - ファセット検索製品を選択します。製品概要ページで、右上の評価データを表示を選択します (スクリーンショットでは表示されません)。次に、概要ページに、受け取ったセキュリティ認定有効期限を確認できます。

AWS Marketplace ベンダーインサイト - 受け取った認定セキュリティとコンプライアンスタブを選択すると、セキュリティとコンプライアンスの詳細情報を確認するためのアクセス権をリクエストする必要があることがわかりました。右上のアクセス権をリクエストボタンを選択して、ベンダーにコンプライアンスドキュメントへのアクセス権を依頼します。

AWS Marketplace ベンダーインサイト - アクセス権をリクエストパート 1

次のページで、ユーザーの情報フォームに自分の詳細を入力し、アクセス権をリクエストを選択します。

AWS Marketplace ベンダーインサイト - アクセス権をリクエストパート 2次のステップセクションでは、次に何が起こるかを詳しく説明します。秘密保持契約 (NDA) に署名するために、販売者から連絡をもらいます。NDA が署名されると、販売者は AWS Marketplace に通知します。次に、ベンダーインサイトデータへのアクセス権が付与されます。

このプロセスには数日かかる場合があります。このデモでは、コンプライアンスデータにアクセスできる架空の製品である Everest に切り替えます。アクセス権のリクエストが受理されたときのセキュリティとコンプライアンスタブは次のとおりです。

概要セクションには、使用可能なコントロールの数が表示されます。証拠を用いて検証されたものと、販売者が自己申告したものの数を報告します。報告された非準拠のコントロールの数も表示されます。

ページを下にスクロールすると、監査、コンプライアンスとセキュリティポリシー、データセキュリティ、アクセス管理、アプリケーションセキュリティ、リスク管理とインシデント対応、ビジネスの回復性と継続性、エンドユーザーデバイスセキュリティ、インフラストラクチャセキュリティ、人事、セキュリティと設定ポリシーなど、複数のカテゴリの詳細を確認できます。スクリーンショットはそれらすべてを表示するものではありません。

AWS Marketplace ベンダーインサイト - セキュリティとコンプライアンスアクセスコントロールの詳細を選択すると、コントロール名の下でリストを確認できます。それぞれについて、SOC2 Type 2ISO 27001およびベンダーの自己評価のコンプライアンスを確認できます。

AWS Marketplace ベンダーインサイト - アクセスコントロールベンダーが提供した詳細と説明を取得するために、非準拠のものを選択します。

AWS Marketplace ベンダーインサイト - 非準拠の詳細

必要に応じて、AWS Artifact のサードパーティレポート (プレビュー) を使用してコンプライアンスレポートをダウンロードする場合もあります。

ソフトウェアベンダーの場合
ソフトウェアベンダーとして、AWS Marketplace で SaaS 製品のセキュリティプロファイルを作成し、このプロファイルを見込み客や既存の購入者と共有できます。これにより、エンジニアリングチームとセキュリティチームが顧客アンケートに回答するための手作業を減らすことができます。

セキュリティプロファイルを作成するには、マーケットプレイス管理 AWS アカウントで AWS Audit Manager を使用して自己評価を完了し、現在の SOC2 Type II および ISO27001 コンプライアンスアーティファクトを共有し (ある場合)、本番環境の AWS アカウントで ManagerAWS Config を使用して自動評価をオンにする必要があります。

私たちのチームは、オンボーディングステップを自動化するために AWS CloudFormation テンプレートを作成しました。セットアップガイドやオンボーディングテンプレートなどの技術リソースは、GitHub リポジトリにあります。プロファイルが作成されると、ベンダーインサイトはAudit ManagerAWS Config からの自動証拠を使用して、セキュリティプロファイルを最新の状態に保ちます。プロファイルへの更新は通知として送信されます。セキュリティとコンプライアンスチームは、購入者と共有する前に更新内容を確認できます。

ベンダーインサイトでは、購入者のサブスクリプションリクエストを承認することで、製品のセキュリティプロファイルへのアクセス権を管理します。購入者がアクセス権をリクエストすると、ベンダーインサイトは連絡先情報をメールによりコンプライアンスチームまたはディールデスク運用チームと共有します。購入者と NDA を締結し、AWS Marketplace に通知して、購入者にセキュリティプロファイルへのアクセス権を付与することができます。製品のセキュリティとコンプライアンス態勢に関する情報を購入者と共有したくない場合は、購入者のサブスクリプションを後日取り消すように AWS Marketplace にリクエストすることもできます。

プロセス全体は、AWS Marketplace ベンダーインサイト購入者ガイドに記載されています。

料金と可用性
ベンダーインサイトは、AWS Marketplace を利用できるすべての AWS リージョンで利用できるようになりました。

料金モデルは非常にシンプルで、AWS Marketplace ベンダーインサイトの使用には料金はかかりません。

購入者の場合、調達段階でアセットにアクセスしてダウンロードできます。60 日経過しても製品を購入しない場合、ベンダーインサイトプロファイルにアクセスできなくなります。製品を購入すると、製品のセキュリティプロファイルへのアクセスを維持して、コンプライアンスステータスを継続的に監視できます。

販売者の場合、AWS Marketplace はベンダーインサイトの有効化と使用には料金を請求しません。Audit Manager と AWS Config の使用には料金が発生します。

今すぐ AWS Marketplace でリスク評価を始めましょう

— seb

原文はこちらです。