クラウドコンピューティングコンプライアンスコントロールカタログ (C5) は、連邦情報セキュリティ庁 (BSI) によってドイツで導入されたドイツ政府の認証スキームです。これは、ドイツ政府の「クラウドプロバイダーへのセキュリティ勧告」のコンテキスト内での一般的なサイバー攻撃に対して、企業が運用上のセキュリティを実現するのに役立ちます。
C5 認証を使用することにより、AWS のお客様やコンプライアンスアドバイザーはワークロードをクラウドに移行する際、AWS で提供される IT セキュリティ保証サービスの範囲を把握できます。C5 では、クラウド特有のコントロールの追加とともに、IT 基本保護法 (IT-Grundschutz) と同等の規制上定義された IT セキュリティレベルが追加されます。
C5 では、データのロケーション、サービスのプロビジョニング、管轄の場所、既存の認定、情報公開義務、および全サービスの説明に関連した情報を提供する詳細なコントロールも追加されます。この情報を使用して、お客様は法的規制 (データプライバシーなど)、独自のポリシー、または脅威環境がクラウドコンピューティングサービスの使用にどのように関連しているかを検討できます。
2016 年 2 月に BSI によって設計および公表された C5 のコントロールセットにより、複雑で規制されたワークロードを AWS のようなクラウドコンピューティングサービスプロバイダーに移行する際、ドイツのお客様に対する保証が向上されます。
BSI では以下の基準を考慮しています。
• ISO/IEC 27001:2013 (ISO – 国際標準化機構)
• CSA Cloud Controls Matrix 3.01 (CSA – クラウドセキュリティアライアンス)
• AICPA Trust Service Principles Criteria 2014 (AICPA – 米国公認会計士協会)
• ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
• IDW ERS FAIT 5 04.11.201 (会計報告書の草稿: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" [クラウドコンピューティングを含む会計関連サービスの外部委託のための基本的な会計原則]、2014 年 11 月 4 日版)
• BSI IT-Grundschutz Catalogues、2014 年第 14 版
• BSI SaaS Sicherheitsprofile 2014 [BSI SaaS セキュリティプロファイル 2014]
