クラウドコンピューティングコンプライアンスコントロールカタログ (C5)

概要

AWSC5Logo

クラウドコンピューティングコンプライアンスコントロールカタログ (C5) は、連邦情報セキュリティ庁 (BSI) によってドイツで導入されたドイツ政府の認定スキームです。これは、ドイツ政府のクラウドサービスを使用する際に、「クラウドプロバイダーへのセキュリティ勧告」のコンテキスト内での一般的なサイバー攻撃に対して、企業が運用上のセキュリティを実現するのに役立ちます。

C5 認定は、AWS のお客様やコンプライアンスアドバイザーがワークロードをクラウドに移行する際、C5 要件を満たすために AWS によって実装されたセキュリティコントロールを理解するために使用できます。C5 では、クラウド特有のコントロールの追加とともに、IT 基本保護法 (IT-Grundschutz) と同等の規制上定義された IT セキュリティレベルが追加されます。

C5 には、データのロケーション、サービスのプロビジョニング、管轄の場所、既存の認証、情報公開義務、および全サービスの説明に関連する追加の管理要件が含まれます。この情報を使用して、お客様は法的規制 (データプライバシーなど)、独自のポリシー、または脅威環境がクラウドコンピューティングサービスの使用にどのように関連しているかを検討できます。

  • C5 とは何ですか?

    C5 (クラウドコンピューティングコンプライアンスコントロールカタログ) はドイツの「クラウドコンピューティング IT セキュリティ」の標準です。2016 年 2 月に BSI によって設計および公表された C5 のコントロールセットにより、規制のある複雑なワークロードを AWS などのクラウドコンピューティングサービスプロバイダーに移行する際、ドイツのお客様に対する保証が向上します。C5 は次の国際標準に対応しています

    • ISO/IEC 27001:2013 (ISO – 国際標準化機構)
    • CSA Cloud Controls Matrix 3.01 (CSA – クラウドセキュリティアライアンス)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – 米国公認会計士協会)
    • ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI – フランス国立コンピューターセキュリティ局、Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (会計報告書の草稿: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" [クラウドコンピューティングを含む会計関連サービスの外部委託のための基本的な会計原則]、2014 年 11 月 4 日版)
    • BSI IT-Grundschutz Catalogues、2014 年第 14 版
    • BSI SaaS Sicherheitsprofile 2014 [BSI SaaS セキュリティプロファイル 2014]
  • この基準は顧客にとってどういうメリットがありますか?

    AWS は、C5 情報セキュリティおよびコンプライアンスプログラムに対する 2020 年度の評価を完了しました。C5 レポートは AWS Artifact でダウンロードできます。AWS の 2021 C5 認証レポートは、2021 年度後半に利用可能になります。 

    C5 レポートは、C5 の基本基準および追加基準を満たすために、欧州の顧客に対する制御設計の適合性と運用上の有効性に関して、独立した第三者の証明を提供します。具体的には、ドイツでは、顧客が C5 基準に照らして評価されるクラウドサービスを探すことに慣れています。C5 はクラウドコンピューティングに対するあらゆる IT セキュリティ項目を取り扱いながら、IT-Grundschutz と同等レベルの IT セキュリティを網羅したフレームワークを顧客に発行します。連邦規制当局にとっては、C5 認定は購買プロセスでの基本的な要件です。

  • C5 の対象となる AWS リージョンはどれですか?

    C5 の対象となる AWS リージョンは、フランクフルト、アイルランド、ロンドン、パリ、ミラノ、ストックホルム、シンガポールです。またドイツ、アイルランド、英国、フランス、シンガポールのエッジロケーションも含まれます。

  • どのサービスが対象になりますか?

    既に C5 の対象範囲内となっている AWS のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。それらのサービスの使用や他のサービスの詳細に関心をお持ちの場合は、当社にお問い合わせください。

  • C5 標準を作成したのは誰ですか?

    ドイツの国立コンピュータ規制局である Bundesamt für Sicherheit in der Informationstechnik (BSI) が 2016 年度に C5 基準を開発しました。BSI は、2019 年に C5 カタログを作り直して更新しました。新しいバージョン (C5:2020) は 2020 年 1 月に完成しました。BSI は、評価期間が 2021 年 2 月 15 日以降に終了する監査に C5:2020 を適用することを強くお勧めします。BSI はすべての政府システムに対するセキュリティ要件を策定し、ドイツの大部分の企業は自社の IT セキュリティ戦略を BSI 規格に合わせています。

  • C5 と BSI の IT-Grundschutz of BSI の違いは何ですか?

    IT-Grundschutz は組織の情報の適切な保護を確立、維持するための標準です。IT-Grundschutz カタログには通常の業務プロセス、IT システム、アプリケーションを安全に守ることが記載されており、エンタープライズ自身の情報の保護を取り扱っています。C5 はクラウドサービスプロバイダー (CSP) が提供するものに関するガイダンスです。

  • AWS では、SaaS、PaaS アプリケーションの C5 認定取得をどのようにサポートしてくれるのですか?

    C5 では、プロのクラウドサービスプロバイダー、その監査員、クラウドサービスプロバイダーの顧客が主な対象です。クラウドプロバイダーが準拠しなければならない要件 (コントロール) を定義します。

    2016 年 11 月現在、AWS はクラウドサービスプロバイダーとしてドイツで最初にインフラストラクチャーレベルで C5 証明を受けました。ドイツおよびその他の欧州諸国のお客様は、AWS の認証レポートを使用して、C5 フレームワークのローカルセキュリティ要件を満たすことができます。AWS の C5 認定は、監査人からクラウドアプリケーション独自の C5 認定を取得するための基盤を築きます。具体的には、お客様はその個々の監査に、データセンターの物理的セキュリティを含めたり、クラウドのインフラストラクチャ部分を管理したりすることなく、C5 認定を受けられる可能性があります。サービスとしてのソフトウェア (SaaS) やサービスとしてのプラットフォーム (PaaS) としてデプロイしたアプリケーションも C5 フレームワークの要件に照らして評価することもできます。AWS のサポートは、BSI 標準レベルの IT セキュリティをあらゆるレイヤーで実質的に実装しているという証明を受けることになります。

  • この基準には国際的な意味はありますか?

    BSI では、ANSSI と近日発表される SecNumCloud Label とを適合させています。C5 基準とフランスの SecNumCloud 標準に影響を受けており、その目的は ESCloud と呼ぶ共通のラベルの元での共通認識へのオプションを持つことです。また、欧州連合サイバーセキュリティ機関 (ENISA) のクラウドサービス向けの欧州連合サイバーセキュリティ認定スキーム (EUCS) のドラフト版は、C5 のセキュリティ標準から大幅に引き出したものです。

  • 認証と認定の違いは何ですか?

    認証は認可を受けた専門企業が発行するもので、通常1 年から 3 年間有効です。認定は、コンプライアンス監査、または資格者による会計監査で受けることがでます。認定は、継続的な実施に重点を置いているため、再監査の周期ははるかに短く、6 か月のものもあります。ISAE 3000 / 3402 によると、監査プロセスは過去の特定の期間中の適切性と有効性に対する証明を提示します。認証はある時点での状態が反映されたものに過ぎません。

compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »