AWSにおける統制の同質性

AWSのお客様からのお問い合わせで次のような質問をいただくことがあります。
「○○（海外のコンプライアンスプログラム）に東京リージョンは準拠していますか？」
「日本国内の○○という法令にAWSは準拠していますか」
本Blogは、お客様自身がそのような問い合わせを紐解くための参考としていただくために、統制の考え方を解説するものとなります。

AWSにおける統合フレームワークの運用

AWS のコンプライアンスおよびセキュリティチームは、情報および関連技術のための統制目標 (Control Objectives for Information and related Technology, COBIT) フレームワークに基づき、情報 セキュリティフレームワークとポリシーを確立しています。これは、ISO 27002 の統制に基づいた ISO27001 認定フレームワーク、米国公認会計士協会 (AICPA) のトラスト・サービスの原則 (Trust Services Principles)、PCI DSS、および米国国立標準技術研究所 (NIST) SP 800-53 (連邦政府情報システムにおける推奨セキュリティ統制) を実質的に統合しています。AWS は、セキュリティポリシーを維持し、従業員に対するセキュリティトレーニン グを提供して、アプリケーションに関するセキュリティレビューを実施しています。これらのレビューは、情報セキュリティポリシーに対する適合性と同様に、データの機密性、完全性、可用性を評価するものです。こうした取り組みはAWSのリージョンに寄らず組織全体のガバナンスとして適用されているものとなります。

なお、AWSの統合されたフレームワークの各要素となる様々な基準は、改訂などが行われることがあります。例えばNIST SP800-53は、2023年2月現在Rev4からRev5への移行が進められていますが、こうした基準の多くは基準改訂の後に制度に組み込まれ、一定の移行期間の後に第三者により評価されるものとなります。

フレームワークと地域における法令の遵守

AWSは、セキュリティのベースラインとして、グローバルなセキュリティ標準やフレームワーク（例：ISO/IEC27001、NIST SP800-53、COBITなどが含まれます）を適用または準拠しています。次に、世界中の異なる地域に対して、AWSはその地域のセキュリティ管理の必要な要件を重ねて対応（オーバーレイ）することで、地域のセキュリティ管理と規制要件を適用しています。このオーバーレイは、グローバルなセキュリティ標準/フレームワークを地域の規制当局によって義務付けられた地域の要件を上乗せするアプローチであり、これにより、国や地域における規制当局およびお客様は、AWSがグローバルで標準化された統制に加え、地域の規制や義務などを満たしている、または超えていることを確認することができます。

おわりに

上記のようにAWSでは例えばISO/IEC27001および27002、そしてNIST SP800−53を踏まえた運用をフレームワークの基礎として運用していいます。さらにはISO/IEC27001の管理策においてはマネジメントシステムとして組織に適用される法令を識別し遵守することが求められています。従ってAWSのグローバルインフラストラクチャを評価する場合に、お客様は上記の前提に立って理解することが可能です。

本Blogは、セキュリティ アシュアランス本部 本部長 松本照吾が執筆いたしました。