クラウドコンピューティングコンプライアンスコントロールカタログ (C5)

概要

クラウドコンピューティングコンプライアンスコントロールカタログ (C5) は、ドイツ連邦情報安全局 (BSI) がドイツで導入した、ドイツ政府支援の認定スキームです。C5 は、ドイツ政府の「クラウドプロバイダーに対するセキュリティ勧告」のコンテキスト内で、クラウドサービスを利用する際に、組織が一般的なサイバー攻撃に対する運用上の安全性を実証するのに役立ちます。

C5 認定は、AWS のお客様やコンプライアンスアドバイザーがワークロードをクラウドに移行する際、C5 要件を満たすために AWS によって実装されたセキュリティコントロールを理解するために使用できます。C5 では、クラウド特有のコントロールの追加とともに、IT 基本保護法 (IT-Grundschutz) と同等の規制上定義された IT セキュリティレベルが追加されます。

C5 には、データのロケーション、サービスのプロビジョニング、管轄の場所、既存の認証、情報公開義務、および全サービスの説明に関連する追加の管理要件が含まれます。この情報を使用して、お客様は法的規制 (データプライバシーなど)、独自のポリシー、または脅威環境がクラウドコンピューティングサービスの使用にどのように関連しているかを検討できます。

  • C5 (クラウドコンピューティングコンプライアンスコントロールカタログ) はドイツの「クラウドコンピューティング IT セキュリティ」の標準です。2016 年 2 月に BSI によって設計および公表された C5 のコントロールセットにより、規制のある複雑なワークロードを AWS などのクラウドコンピューティングサービスプロバイダーに移行する際、ドイツのお客様に対する保証が向上します。C5 は次の国際標準に対応しています

    • ISO/IEC 27001:2017 (ISO – 国際標準化機構)
    • CSA Cloud Controls Matrix 3.01 (CSA – クラウドセキュリティアライアンス)
    • AICPA Trust Service Principles Criteria 2017 (AICPA – 米国公認会計士協会)
    • 信頼できるクラウドデータ保護プロファイル (TCDP) – バージョン 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • BSI IT-Grundschutz Kompendium – エディション 2019

  • ドイツの国立コンピュータ規制局である Bundesamt für Sicherheit in der Informationstechnik (BSI) が 2016 年度に C5 基準を開発しました。BSI はすべての政府システムに対するセキュリティ要件を策定し、ドイツの大部分の企業は自社の IT セキュリティ戦略を BSI 規格に合わせています。BSI は、2019 年に C5 カタログを作り直して更新しました。新しいバージョン (C5:2020) は 2020 年 1 月に完成しました。 

  • AWS は、C5 情報セキュリティおよびコンプライアンスプログラムに対する 2021 年度の評価を完了しました。C5 レポートは AWS Artifact でダウンロードできます。C5 の基本的な基準と追加的な基準の両方をカバーしています。AWS の 2022 C5 認証レポートは、2022 年度後半に利用可能になります。

    C5 レポートは、C5 の基本基準および追加基準を満たすために、欧州の顧客に対する制御設計の適合性と運用上の有効性に関して、独立した第三者の証明を提供します。具体的には、ドイツでは、顧客が C5 基準に照らして評価されるクラウドサービスを探すことに慣れています。C5 はクラウドコンピューティングに対するあらゆる IT セキュリティ項目を取り扱いながら、IT-Grundschutz と同等レベルの IT セキュリティを網羅したフレームワークを顧客に発行します。連邦規制当局にとっては、C5 認定は購買プロセスでの基本的な要件です。

  • C5 の対象となる AWS リージョンは、フランクフルト、アイルランド、ロンドン、パリ、ミラノ、ストックホルム、シンガポールです。またドイツ、アイルランド、英国、フランス、シンガポールのエッジロケーションも含まれます。

  • 既に C5 の対象範囲内となっている AWS のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。それらのサービスの使用や他のサービスの詳細に関心をお持ちの場合は、当社にお問い合わせください。

  • IT-Grundschutz は組織の情報の適切な保護を確立、維持するための標準です。IT-Grundschutz カタログには通常の業務プロセス、IT システム、アプリケーションを安全に守ることが記載されており、エンタープライズ自身の情報の保護を取り扱っています。C5 はクラウドサービスプロバイダー (CSP) が提供するものに関するガイダンスです。

  • BSI では、ANSSI と近日発表される SecNumCloud Label とを適合させています。C5 基準とフランスの SecNumCloud 標準に影響を受けており、その目的は ESCloud と呼ぶ共通のラベルの元での共通認識へのオプションを持つことです。また、欧州連合サイバーセキュリティ機関 (ENISA) のクラウドサービス向けの欧州連合サイバーセキュリティ認定スキーム (EUCS) のドラフト版は、C5 のセキュリティ標準から大幅に引き出したものです。

  • 認証は認可を受けた専門企業が発行するもので、通常1 年から 3 年間有効です。認定は、コンプライアンス監査、または資格者による会計監査で受けることがでます。認定は、継続的な実施に重点を置いているため、再監査の周期ははるかに短く、6 か月のものもあります。ISAE 3000 / 3402 によると、監査プロセスは過去の特定の期間中の適切性と有効性に対する証明を提示します。認証はある時点での状態が反映されたものに過ぎません。

C5 のリソース

Amazon Web Services: セキュリティ、アイデンティティ、コンプライアンスに関するベストプラクティス
Amazon Web Services: リスクおよびコンプライアンス
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »