AWS ファンデーショナルテクニカルレビュー (FTR) とは

AWS パートナーであれば誰でも無料で受けられる技術レビューがあることをご存知でしょうか？このレビューを受けることで、ソリューションのリスクを特定し、ベストプラクティスに沿ったアーキテクチャや運用に改善していくための機会を得ることができます。この記事では、この AWS ファンデーショナルテクニカルレビュー (FTR) の概要やベネフィット、申請方法などについて解説します。

AWS FTR とは

FTR とは、お客様がお持ちのソフトウェアやソリューションが、AWS のベストプラクティスに基づいて実装および運用されているかを、あらかじめ定義されている共通要件に従って検証するパートナープログラムです。すべての要件を満たしてレビューを通過すると、AWS 認定ソフトウェアとして AWS Partner Solutions Finder (PSF) に掲載され、「AWS Qualified Software」ソリューションバッジを利用できるようになります。

従来の FTR はソフトウェアオファリングのみが対象でしたが、2023 年からサービスオファリング (例: コンサルティングサービス、プロフェッショナルサービス、マネージドサービス) に対するレビューもサポートされています。サービスオファリングの FTR についてはこちらのブログをご覧ください。また、ソリューションプロバイダープログラムの FTR もありますが、この記事ではソフトウェアオファリングの FTR について解説します。

※「オファリング」とは： パートナーが提供する、AWS と共同販売したい製品やサービスのこと。ソフトウェアやハードウェア、コンサルティングサービス、マネージドサービス、トレーニングなど様々な種類が登録可能。

認定の取得を目的としてレビューを受けるパートナーも多いのですが、FTR が目指す本来の目的は、リスクの軽減や運用体制の改善、最終的にはカスタマーエクスペリエンスの向上にあります。チェックリストの大半はセキュリティやレジリエンスに関するベストプラクティスであり、安心してお客様にご利用いただけるソリューションの状態を目指すのが本質になります。レビューの場では、改善項目の指摘を受けるだけでなく、AWS サービスを用いた実装方法に関するアドバイスなどを、AWS のパートナーソリューションアーキテクトから直接受けることができます。

FTR の実施で得られるベネフィット

ソフトウェアパスを選択しているパートナーの場合、少なくとも 1 つ以上のオファリングで有効な FTR の認定を取得していることが、Validated ステージの条件となっています。Validated 以上のパートナーになると、PSF への掲載や、APN カスタマーエンゲージメントプログラム (ACE) を通じた案件紹介、AWS ISV Accelerate などのさらに上位のプログラムへの参加資格を得るなど、様々な追加のベネフィットが利用できるようになります。

また、FTR の認定によって得られる認定ソフトウェアバッジは、Web サイトやプレスリリースなどの各種マーケティングアセットで利用できます。FTR の通過は、AWS と共同でソリューションを拡販していく GTM 活動を行うための第一歩です。セキュリティやレジリエンスのベースラインが AWS によって技術的に検証されているという点は、例えクラウドの利用に不安をお持ちのお客様であっても、ソリューションをアピールできる 1 つの材料として活用できます。

申請要件

FTR は、AWS パートナーであれば誰でも無料で何度でも受けることが可能です。ステージの制約なども特になく、Enrolled のパートナーでもレビューを申請することができます。ただし、PSF 掲載などのベネフィットを利用するには、APN 年会費の支払いを済ませ Confirmed になっている必要があります。レビューの申請にあたっては、事前に以下の点をご確認ください。

• AWS 上に構築された、または AWS に関連したソリューションであること
• すでに本番稼働しているソリューションであること
• 社内向け、または特定の個社向けにカスタマイズしたソリューションではないこと
• AWS Well-Architected レポートやアーキテクチャ図、セルフアセスメントシートなど必要書類を準備できること

オファリングの種類によってはその他の条件が求められたり、場合によってはレビューができないソリューションもありますので、詳細についてはこちらのガイド (※AWS パートナーセントラルへのログインが必要) をご覧ください。例えばソフトウェアパートナーの場合、申請のほとんどが Partner-Hosted タイプのソリューション (いわゆる SaaS) ですが、こちらのタイプではソリューションを構成する重要なコンポーネントの全てが AWS 上で稼働していることが前提条件になります。

チェックリストの種類

FTR で満たすべき要件はチェックリストに定義されています。チェックリストはオファリングの種類に合わせて複数存在し、どのチェックリストが適用されるかは、大きく以下の 3 つの点から決定されます。

1. 誰がソリューションをデプロイおよび管理するか: SaaS のようなソフトウェアベンダーが自身の環境でソリューションをデプロイおよび管理する Partner-Hosted と、ソフトウェアベンダーが提供する AMI やコンテナイメージのようなアセットを用いて顧客が自身の環境にソリューションを構築する Customer-Deployed の 2 つのタイプに分かれます。
2. ソリューションが稼働する場所はどこか: コンポーネントが全て AWS 上に存在するケースと、一部がオンプレミスやエッジデバイスなどに分散するケースがあります。
3. AWS Marketplace または AWS Data Exchange を通じて販売されているか: AMI、コンテナ、機械学習、またはデータセットとしてオファリングを提供している限りにおいて、優先して個別のチェックリストが適用される形となっています。

以上を整理すると、大半は以下のいずれかのチェックリストが適用されることになります。どのチェックリストが適切か迷われる際には、AWS の担当者にご相談ください。

1. Partner-Hosted on AWS
2. Partner-Hosted outside AWS
3. Customer-Deployed on AWS
4. Customer-Deployed outside AWS
5. AMI and Container Based Products on AWS Marketplace
6. Machine Learning Products on AWS Marketplace
7. AWS Data Exchange (ADX)

各チェックリストへのリンクはガイド内に記載されています。要件は不定期でアップデートされることがあります。申請の際は必ず最新版をご確認ください。

検証される内容

ここでは特に申請数の多い Partner-Hosted と Customer-Deployed についてそれぞれのレビュー内容を簡単に説明します。

Partner-Hosted

ソリューションが AWS のベストプラクティスに沿って構築および運用されているかを検証します。FTR の要件は AWS Well-Architected Framework をベースにしており、そのサブセットという位置付けになっています。セキュリティ、レジリエンス、運用に関して、最低限満たすべきポイント (ベースライン) を押さえた内容となっています。特徴的なのは、アーキテクチャや AWS サービスの設定などに限らず、社内で確立された運用プロセスがあるかなど、より実践的なパートナーのビジネスにフォーカスした内容となっている点です。これらのベースラインを満たすことで、お客様に安心してご利用いただける製品であることが検証されます。

一部の要件は、AWS Security Hub の CIS AWS Foundations Benchmark レポートを活用することで、自動で検証することができます。レビュープロセスを短縮できるので、申請の際はこちらのレポートもご提出ください。

チェックリスト内の各要件については、こちらのブログ記事で詳細に解説しています。

Customer-Deployed

ソリューションのデプロイメントガイドに、必要な内容が明記されているかを検証します。デプロイメントガイドとは、顧客がそのソリューションを利用する際に参照するドキュメントです。このドキュメントにステップバイステップのデプロイ方法や、暗号化、バックアップ/リストアの手順、高可用性アーキテクチャのオプションなどを記載する形になります。

これらのドキュメントを整備することで、ユーザーがパートナーに問い合わせることなく、セルフサービスでソリューションを利用できるようになります。要件のスコープは Partner-Hosted と共通で、主にセキュリティ、レジリエンス、運用に関するものになります。特に決まったフォーマットはないので、各社で作成しているドキュメントに必要な情報を追記していく形になります。

レビューの流れおよび申請方法

1. まずは、FTR の対象製品が前述の申請要件を満たしているか確認します。
2. 次に、申請にあたって必要なドキュメントの準備を行います。最も重要なものは、回答を記載したセルフアセスメントシートです。これは、Web 上の各チェックリストのページから Excel でダウンロードすることができます。これに、各要件における対応内容をできる限り詳細に記載し、要件を満たしているかセルフアセスメントを行います。記載が不十分な場合はレビューを進めることができませんのでご注意ください。また、Customer-Deployed の場合はデプロイメントガイドの提出も必要です。PDF ファイルや Web 上の公開リンクをご共有ください。レビュー担当者が確認できない非公開のページは使用することができません。その他のドキュメント (例: アーキテクチャ図、Security Hub のレポート、Well-Architected レビューのレポート) は任意ですが、レビューを円滑に進めるためにも可能な限り提出をお願いいたします。ドキュメントはパートナーセントラルのページからアップロードするか、メールで担当者にご共有ください。
3. レビューの申請はパートナーセントラルから行います。ここからの操作は所定の権限が必要になるので、アライアンスリードに依頼するか、メンバーに必要な権限を付与してもらうよう貴社内の管理者にご相談ください。ログインしたらナビゲーションメニューから [構築] > [オファリング] を選択します。まだソリューションをオファリングとして登録していない場合は、[オファリングを作成] から新規で作成してください。すでに作成済みの場合は、オファリング名をクリックします。
   [検証] タブから FTR のステータスを確認し、[検証のリクエスト] をクリックします。
   必要なドキュメントをアップロードし、[検証のリクエスト] をクリックします。
   これで申請は完了です。提出したドキュメントに不備がないかなど確認が取れ次第、担当者からメールが届きますのでお待ちください。
4. 担当者とメールでレビューの日程調整を行います。Partner-Hosted の場合は、通常 1.5 時間ほど担当者と対面でオンラインレビューを行います。Customer-Deployed の場合は、現在は対面レビュー不要で、ご提出いただいたデプロイメントガイドをチェックする形を取っています。
5. AWS の担当者がレビューを行います。記載した回答を元に、チェックリスト内の各要件が満たせているか検証します。不明な点についてレビュー担当者から質問があるので、回答ができるステークホルダーのご参加をお願いいたします。
6. レビューが完了すると、数営業日以内に担当者から結果レポートがメールで届きます。全ての要件を満たしている場合、追加のアクションは不要です。パートナーセントラルからオファリングが認定されていることをご確認ください。1 つでも非準拠の項目がある場合は、Remediation period と呼ばれる最大 6 ヶ月間の対応期間に入ります。この期間内にアーキテクチャの修正や運用プロセスの改善を行ない、アクションアイテムへの対応を行います。改善ができた項目についてはその対応内容をメールで担当者に報告し、承認をもらいます。全てのアクションアイテムがなくなった時点でソリューションが認定されます。再度の対面レビューは不要です。
7. 認定されたソリューションの有効期限は 2 年間です。AWS のベストプラクティスもパートナーのソリューションも日々進化を続けるので、定期的に再レビューを行って検証をしています。期限が切れる 3 ヶ月前から再申請が可能ですので、最新のチェックリストで再度セルフアセスメントを行い、レビューを受けます。

まとめ

AWS FTR は、パートナーが無料で利用できるビジネス改善の貴重な機会です。実際にレビューを受けたパートナーからは、「いつかやろうと思って後回しにしていたセキュリティや運用系のタスクを消化できてよかった」「自分たちでは気づけなかったリスクを見つけることができた」「どこまでやれば十分か社内の基準を作ることができた」といった声をいただいています。手軽に実施できるので、まずはアセスメントを受けてみて、自社のソリューションの状態を確認するところから始めましょう！

よくある質問

Q. チェックリストの要件をいくつ満たせばレビュー通過となりますか？
A. 基本的に全ての要件を満たす必要があります。ソリューションの性質によって当てはまらない要件はスキップとなりますが、対象となる要件に関しては全て対応が求められます。

Q. AWS Well-Architected レビューの結果は FTR の結果に影響しますか？
A. Well-Architected レビューに含まれるベストプラクティスと FTR で求められる要件には共通している部分が多くありますが、FTR の要件は独立しています。Well-Architected レビューの結果に関わらず、FTR の要件を満たせば 認定を受けることができます。ただし、12ヶ月以内に AWS の社員と共に実施した Well-Architected レビューがあり、セキュリティ、オペレーショナルエクセレンスおよび信頼性の柱すべてで高リスクを 0 にできれば、FTR の一部の要件をスキップすることができます。詳しくはチェックリストをご確認ください。

Q. 必要な書類は英語で用意する必要がありますか？
A. いいえ、日本語で構いません。レビューも日本語で対応いたします。

Q. テスト用の検証環境でも同様に要件を満たす必要がありますか？
A. いいえ、FTR のレビュー対象は本番稼働環境のみになります。

Q. エビデンスは必要ですか？
A. 必須ではありません。基本的にはヒアリングベースでレビューを進めますが、不明な点がある場合は画面共有やドキュメントの提出をお願いすることもあります。

Q. レビュー後 6 ヶ月間の期間内に対応できなかった場合はどうなりますか？
A. 最新のチェックリストで再度レビューをお申し込みください。

Q. チェックリスト内の個別の要件に関して質問があります。問い合わせ窓口はありますか？
A. 個別の要件に関するご質問はレビュー実施の際に直接担当者にご質問ください。レビュー前の「こういった対応をしているのですが要件を満たせますか？」といったお問い合わせには対応しておりませんのでご了承ください。

関連資料・ブログ

• AWS Foundational Technical Review Guide
• AWS Foundational Technical Review for Service Offerings Guide
• 【Partner-Hosted 編】ファンデーショナルテクニカルレビュー (FTR) のチェックリスト解説
• パートナーに聞く！FTR 通過の対応のコツとは？
• パートナーに聞く！FTR 通過を目指すべき理由とは？（前編 | 後編）
• AWS 認定ソフトウェアのご紹介 (2023 第 4 四半期)
• AWS ファンデーショナルテクニカルレビューの対象をサービスオファリングにまで拡大