Cloud Computing Compliance Criteria Catalogue

欧州のお客様は、C5 レポートにおいて、C5 の基本基準および追加基準を満たすための、当社のコントロール設計の適合性および運用上の有効性に関する独立した第三者の認定をご確認いただけます。具体的には、ドイツでは、顧客が C5 基準に照らして評価されるクラウドサービスを探すことに慣れています。C5 はクラウドコンピューティングに対するあらゆる IT セキュリティ項目を取り扱いながら、IT-Grundschutz と同等レベルの IT セキュリティを網羅したフレームワークを顧客に発行します。連邦規制当局にとって、C5 認定は購買プロセスでの基本的な要件です。

AWS での C5 に関する最新情報は、AWS セキュリティブログの C5 に関する各記事でご覧いただけます。

AWS C5 レポートは、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用することで入手できます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。

BSI は、この ANSSI との作業と、近日発表される SecNumCloud Label を連携させています。C5 基準とフランスの SecNumCloud 標準に影響を受けており、その目的は ESCloud と呼ぶ共通のラベルの元での共通認識へのオプションを持つことです。また、欧州連合サイバーセキュリティ機関 (ENISA) のクラウドサービス向けの欧州連合サイバーセキュリティ認定スキーム (EUCS) のドラフト版は、C5 のセキュリティ標準から大幅に引き出したものです。

既に C5 の対象範囲内となっている AWS のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。このサービスの使用方法やその他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。

C5 の対象となる AWS リージョンには、フランクフルト、アイルランド、ロンドン、パリ、ミラノ、ストックホルム、シンガポール、チューリッヒ、スペインのほか、ドイツ、アイルランド、英国、フランス、シンガポール、スウェーデン、イタリア、スペイン、スイスのエッジロケーションも含まれます。

認証は認可を受けた専門企業が発行するもので、通常1 年から 3 年間有効です。認定は、コンプライアンス監査、または資格者による会計監査で受けることがでます。認定は、継続的な実施に重点を置いているため、再監査の周期ははるかに短く、6 か月のものもあります。ISAE 3000 / 3402 によると、監査プロセスは過去の特定の期間中の適切性と有効性に対する証明を提示します。認証はある時点での状態が反映されたものに過ぎません。

IT-Grundschutz は組織の情報の適切な保護を確立、維持するための標準です。IT-Grundschutz カタログには通常の業務プロセス、IT システム、アプリケーションを安全に守ることが記載されており、エンタープライズ自身の情報の保護を取り扱っています。C5 は、クラウドサービスプロバイダー (CSP) サービスに関するガイダンスを提供します。

C5 (Cloud Computing Compliance Criteria Catalogue) は、ドイツの「クラウドコンピューティング IT セキュリティ」標準です。2016 年 2 月に BSI によって設計され、最初に公表された C5 のコントロールセットにより、規制のある複雑なワークロードを AWS などのクラウドコンピューティングサービスプロバイダーに移行する際、ドイツのお客様に対する保証が向上します。

現行の C5 は 2020 年にリリースされたもので、以下の規格や出版物の要件が盛り込まれています。

• ISO/IEC 27001:2013 – 情報セキュリティマネジメントシステム – 要求事項
• ISO/IEC-27002:2016 – IT セキュリティ手順 – 情報セキュリティ対策のガイドライン
• ISO/IEC 27017:2015 – セキュリティの手法 – クラウドサービスに関する ISO/IEC 27002 に基づく情報セキュリティコントロールの実践規範
• BSI – IT-Grundschutz-Kompendium、第 2 版 (2019 年)
• CSA – Cloud Controls Matrix 3.0.1 (CSA – Cloud Security Alliance)
• AICPA Trust Service Principles Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
• ANSSI (Agence nationale de la sécurité des systèmes d’information, National Cybersecurity Agency of France) – クラウドコンピューティングサービスのプロバイダー v.3.1 (SecNumCloud)
• IDW (Institut der Wirtschaftsprüfer, the German Institute of Certified Public Accountants) RS FAIT 5 – Statement on Financial Reporting:「Principles of Orderly Accounting for the Outsourcing of Financial Reporting-Related Services including Cloud Computing」、2015 年 11 月 4 日現在

C5 基準は、ドイツの国立サイバーセキュリティ当局である Bundesamt für Sicherheit in der Informationstechnik (BSI) によって 2016 年に策定されました。BSI はすべての政府システムに対するセキュリティ要件を策定し、ドイツの大部分の企業は自社の IT セキュリティ戦略を BSI 規格に合わせています。BSI は、2019 年に C5 カタログを作り直して更新しました。新しいバージョン (C5:2020) は 2020 年 1 月に完成しました。