AWS マネージドサービスプロバイダー（MSP）プログラムの検証チェックリストが更新されました

AWS マネージドサービスプロバイダー（MSP）プログラムの検証チェックリストバージョン4.1が更新され、バージョン4.2がリリースされました。

AWS MSPパートナープログラム検証チェックリストv4.2（英語版）はこちら

AWS MSPパートナープログラム検証チェックリストv4.2 スコアリングワークシート（英語版）はこちら

日本語参考訳の検証チェックリストとスコアリングワークシートについては、5月上旬をめどにリリースされる予定です。

このリリースに伴い、2021年6月1日以降の MSP監査はバージョン4.2をもとに行われます。

本年6月以降に監査を迎えるパートナーと、新たにMSPを申請する予定のパートナーはV.4.2 をご参照ください。

今回の変更点の概要は、以下のとおりです。

（1）4点の追加項目（3点は必須、1点は加点）

（2）3点の評価基準の変更、1点の点数の変更

（3）23点の文章の明確化

そして、特に注意すべき点としては、上記（1）に記載にある4つ追加項目で、顧客との契約形態、セキュリティーマネージメント、サービス継続性の項目に減点項目（つまり必要要件）が追加され、セキュリティーイベントのログの保持（加点項目）があります。

またバージョン4.1では曖昧であった要件定義や必要な確証の記載についても、広範囲に渡って明確化されました。

変更点のまとめ

(1) 追加項目

1．【3.3.3】(-200)　複数のお客様に対して同一の AWS アカウントが共有されていないことを示す必要があります。（SaaSモデルの場合は対処外です。）

2．【3.3.4】(-200)

・顧客がマネージドサービスを解約する際に、顧客のデータや AWS アカウントの所有権を保持できるように定義された手順が必要になります。

・ソリューションプロバイダープログラム（SPP）のメンバーであるパートナーの場合、全てのアカウントの所有権と root アカウントの認証情報を引き継ぐプロセスをカバーする必要があります。

3.　【8.1.13】(-200)

・システム上で顧客の AWS アカウントをプログラムで呼び出す際に、認証に AssumeRole を使って一時アクセスキーを使用する必要があります。

・静的な IAM アクセスキーを使用することはNGです。

4．　【8.2.4】(+40)

・管理しているすべての顧客アカウントに対し、サービスタイプ「RISK」になっている全ての AWS Health イベントを処理するために、自動メカニズムを実装する必要があります。

・公開されたアクセスキー通知を受信したときに、少なくとも、ITSM またはセキュリティチケットシステムで最高の重大度で新しいチケットを作成するための自動システムを導入する必要があります。

・公開された資格情報の削除またはローテーションを含む、公開された資格情報通知を処理するための手順を文書化している必要があります。

(2) 評価基準や点数の変更

1．【3.5】サポートプランの要件が本番環境のアカウントのみに限定されています。

2.  【6.2】「Infrastructure as Code」に名称を変更（元の名称は「 DevOps Infrastructure Practices 」）。 AWS パートナーがインフラストラクチャの環境の更新を管理する方法について要件が定義されました。

3．【8.1.12】データ保管時の暗号化の包括的な要件を削除し、その代わりに、データ分類とデータ処理標準の提示を要件に追加しています。

4．【8.3】(+40)　サービス継続性の項が+20から‐200に変更されています。

(3)　検証チェックリスト要件定義が明確化された項目

1.【1.2】対象となりうるThought Leadershipの種類の例が記載されています。

2.【2.2＆2.3】プロセスを文書化する要件が削除されています。

3. 【2.4】後継者育成計画についての最低限必要な要件が明確化されています。

4．【2.6】顧客事例の有効期間を明確にし（18か月以内に運用開始、6か月以上運用している）、事例は AWS パートナーの MSP ビジネスの成長を実証する必要があることが強調されています。

5．【3.1】 インフラストラクチャのキャパシティプランニングに関する記載を削除し、本3.1 項は人員の能力のみが対象となりました。

6．【3.2.1】各ロールに対して、AWS の仕事をする時間の割合に関する記載要件が削除されています。

7. 【3.2.2】3.2.2 が 3.2.1 とどのように関連するのかについての記載が追記されています。

8．【3.2.3】3.2.3 が情報セキュリティに焦点を合わせていることが明記されています。

9. 【3.2.4】ITIL認定のバージョンが指定され、ITIL v3以上の保有者が最低1名必要となりました。

10. 【5.1.3】設計ドキュメントに含める必要のある詳細情報が明記されました。

11. 【5.1.6】設計ドキュメントのレビューポリシーに関する要件が5.1.6 と 5.2 に分割されました。

12.　【6.1】DevOpsのトランスフォーメーションとサポートにつき、最低限満たすべきバーを明確にし、6.1 が特に顧客の自動デプロイのサポートに関連することが指定されました。

13．【8.1.11】どのコミュニケーション方法がシークレットショッパーテストの対象となるかについての定義を明確にし、シークレットテストが法律で禁止されていない場合の定義が追記されました。

14.　【9.3.5】チケットシステムと AWS サポートの統合に関する要件が明記されました。

15.　【9.5】9.5 の範囲は、すべての顧客アカウントのデフォルトの監視構成に対するものであることが明記されました。

16.　【9.6.1】 期待されるメトリクスのタイプの具体例が記載されました。

17.　【9.6.2】異常検出を使用する目的と、異常検出が複数のメトリックおよびレイヤーに適用する必要があることが強調されました。

18．【9.6.3】予測モデルの意味が明記されました。

19.　【9.13.3】 従来のCMDBや他のシステムで満たすことができる明示的な要件が記載されました。

20.　【10.2】SLAの事例が追記されました。

21.　【11.2】11.1項と統合されたため、項目としては削除されました。

22.　【12.1】コスト管理のために他のAWSパートナーのツールが利用可能になりました。

23.　【13.1】すべてのサービスを実際の本番環境で実証する必要があることが明記されました。

結構多くの修正点がありましたので関連するパートナーの皆様はご確認をお願いいたします。

ご不明な点等ございましたらAWSの担当者までご連絡ください。