コンプライアンスに関するよくある質問

AWS のセキュリティとコンプライアンスに関する立場を記録するアンケートへの回答にあたってサポートが必要な場合に備えて、AWS では、クラウドや AWS のビジネスモデルの文脈におけるセキュリティやコンプライアンスに関するお客様の疑問を解消するために必要なリソースを提供するために設計された、推奨されるアプローチを採用しています。セキュリティとコンプライアンスのアンケートに回答するために最も頻繁に使用されるリソースは次のとおりです。

• AWS Artifact – AWS Artifact は、重要なコンプライアンス関連情報の頼りになる一元管理型のリソースです。AWS Artifact では、AWS のセキュリティおよびコンプライアンスレポートと特定のオンライン契約にオンデマンドでアクセスできます。AWS Artifact には、Service Organization Control (SOC)、Payment Card Industry (PCI) 準拠証明書、AWS セキュリティ制御の実装と運用の有効性を検証する、さまざまな地域やコンプライアンス垂直市場の認定機関からの認定が含まれます。AWS Artifact で利用可能な契約には、事業提携契約 (BAA) と機密保持契約 (NDA) が含まれます。
• AWS コンプライアンスプログラムのウェブページ - AWS コンプライアンスプログラムにより、セキュリティとクラウドのコンプライアンスを維持するために AWS に導入されている堅牢な管理について、お客様にご理解いただけます。
  
• AWS データセンターコントロールのウェブページ – 多くのアンケートには、データセンターの物理的なセキュリティに関連する質問のみで構成されるセクションがあります。このウェブページは、当社の物理的および環境的な管理のいくつかについての洞察を提供します。
• AWS リスクおよびコンプライアンスホワイトペーパー – 一般的なクラウドコンピューティングのコンプライアンス問題について AWS に固有の情報も確認できます。
• CSA Consensus Assessments Initiative Questionnaire – CSA の Consensus Assessments Initiative Questionnaire には、クラウドの消費者や監査人がクラウドプロバイダーに尋ねる可能性が高い質問一式を CSA が予測してまとめています。セキュリティ、制御、およびプロセスに関する一連の質問を確認し、クラウドプロバイダーの選択やセキュリティ評価などの幅広い用途に活用できます。このドキュメントには、CSA のアンケートに対する AWS の回答も掲載してあります。
  
• SIG 質問票 - 標準化情報収集 (SIG) アンケートは、Shared Assessment の SIG 質問票ツールをご利用のお客様が、サードパーティーリスク評価のプロセスを標準化するために使用することを想定しています。AWS は、AWS クラウドのデューデリジェンスプロセスにおいて AWS の顧客を支援するために、説明的な回答でアンケートを完成させました。SIG は AWS Artifact で見ることができます。
  

AWS 対象範囲内のサービスのウェブページでは、一般的なコンプライアンス標準に準拠していると評価されているサービスのリストを提供しています。

AWS は、お客様の代わりに特定の処理活動を行うため、または、データセンター施設の管理アクティビティを行うため、AWS 補助処理者のウェブページにリストされている事業者を従事させることがあります。このウェブページでは、補助処理者のリストが変更された場合における E メール通知をサブスクライブするオプションもお客様に提供しています。

AWS では、お客様のデータのセキュリティとプライバシーを維持するために、データセンターがある場所を秘密情報として厳に保護しています。AWS リージョンの命名規則は、そのリージョンを構成するアベイラビリティーゾーンとデータセンターの一般的な地理的ロケーションを示しています。データセンターの一般的なロケーションに関する追加の詳細は、AWS Artifact から入手可能な私たちの PCI-DSS レポートに記載されています。詳細については、AWS グローバルインフラストラクチャのウェブページをご覧ください。

お客様は、AWS がデータセンターについて実施しているすべてのセキュリティコントロールを検討することで、AWS の物理的なインフラストラクチャのセキュリティと回復性を評価できます。私たちの物理的なセキュリティと回復性のコントロールをより深く理解するために、独立した有能な監査人は、AWS Artifact を通じてお客様に提供される私たちの SOC 2 Type II レポートの一部として、コントロールの存在と運用を検証しています。この広く認められたサードパーティーによる検証は、実施されているコントロールの有効性を独立した立場で顧客に対して証明するものです。データセンターの物理的セキュリティの独立したレビューは、ISO 27001、PCI、ITAR、および FedRAMP のコンプライアンスプログラムの一部でもあります。

災害復旧計画の一環として AWS を評価するお客様は、最初に回復性の目標を特定し、回復性と災害復旧についての適用される規制要件を検討する必要があります。その後、お客様は、回復性の目標と規制要件を満たす AWS 環境を設計できます。例えば、環境リスクを軽減するために、お客様は AWS ワークロードを設計して、物理的に分離されたアベイラビリティーゾーンとリージョンを利用して目的を達成できます。AWS の顧客は、事業継続や災害対策の計画を立てる際に、AWS Well Architected Framework の信頼性の柱に含まれるベストプラクティスを活用する必要があります。

AWS Artifact は、世界、地域、および業界固有のさまざまな基準および規制に対する AWS のコンプライアンスをテストおよび検証したサードパーティーの監査人が発行するコンプライアンスレポートを提供します。新しいレポートがリリースされると、AWS Artifact でダウンロードが可能になります。詳細については、コンプライアンスレポートに関するよくある質問のページをご覧ください。AWS マネジメントコンソールから AWS Artifact に直接アクセスできます。

SOC 1 および SOC 2 レポートサイクル内での AWS の通年のカバレッジに基づいて、ブリッジレターまたはギャップレターに代えて SOC 継続運用レターを発行します。このドキュメントは、AWS マネジメントコンソールから AWS Artifact を使用してダウンロードできます。

いいえ。SOC 監査は一定期間にわたって実行されます。監査期間が終了すると、レポートが作成され、6〜8 週間以内にお客様にご利用可能な状態となります。AWS は、毎年、6 か月の期間を対象とする SOC 1 レポートおよび SOC 2 レポートを発行します (1 つ目のレポートは 10 月 1 日～3 月 31 日を対象とし、2 つ目のレポートは 4 月 1 日～9 月 30 日を対象とします)。レポートの公開日は多くの要因に基づき決定されますが、毎年 5 月上旬と 11 月上旬に新しいレポートを公開することを目標としています。新しい SOC レポートが公開されると、お客様は AWS Artifact でダウンロードできるようになります。

AWS は、SOC 1 または SOC 2 レポートのコピーをお客様に提供させていただいています。お客様の顧客を最大限にサポートするために、AWS Artifact の開始方法のガイドを利用して、自身の AWS アカウントを使用して SOC 1 または SOC 2 レポートをダウンロードすることをお勧めします。アカウントの作成は無料です。アカウントにログイン後、AWS コンソール内の [Artifact] ([Security, Identity & Compliance] 内) に移動すると利用可能なレポートにアクセスできます。

また、特定の AWS コンプライアンスレポートに適用される利用規約で認められている場合は、AWS Artifact から AWS コンプライアンスレポートをダウンロードし、直接お客様と共有することができます。そのレポートの共有が認められているかどうかは、AWS Artifact からダウンロードした AWS コンプライアンスレポートの 1 ページ目に記載されている利用規約をご覧のうえご確認ください。

また、AWS SOC 3 レポート も SOC コンプライアンスのウェブページで公開しています。SOC 3 レポートは、AWS SOC 2 レポートを要約したものです。これは、外部監査人の意見を含め、AWS が AICPA の Trust サービス原則に定められた基準に基づいてコントロールの効果的な運用を維持していることを保証します。

AWS のようなクラウドサービスプロバイダー (CSP) に対する HIPAA 認証はありません。しかし、AWS は HIPAA リスク管理プログラムを、HIPAA セキュリティ規則に対応するセキュリティ基準である FedRAMP、NIST 800-30、NIST 800-53 と整合させています。NIST では、これに役立つものとして、NIST 800-53 を HIPAA セキュリティ規則に合わせる方法を文書化した、SP 800-66 Rev. 1、An Introductory Resource Guide for Implementing the HIPAA Security Ruleを発行しています。AWS での HIPAA コンプライアンスの詳細については、AWS HIPAA ウェブページをご参照ください。

はい。AWS では、お客様と締結する標準 BAA を用意しています。この事業提携契約では、AWS で提供される固有のサービスが考慮に入れられており、AWS 責任共有モデルに対応しています。

アカウント、または AWS Organizations の組織の一部であるすべてのアカウントの BAA のステータスを確認、承認、および管理するには、AWS マネジメントコンソールから AWS Artifact にサインインします。

AWS では、HIPAA で要求されるセキュリティ、制御、および管理のプロセスを特に HIPAA 適格サービスで実行できるよう、標準ベースのリスク管理プログラムをサポートしています。お客様は、HIPAA アカウントとして指定されたアカウントで任意の AWS のサービスを使用できますが、HIPAA 適格サービスを使用して、保護対象保健情報 (PHI) のみを処理、保存、および送信する必要があります。AWS での HIPAA コンプライアンスの詳細については、次の AWS リソースをご参照ください。

• HIPAA のための一般的なアーキテクチャ設計戦略
• HIPAA に関するよくある質問
• HIPAA 関連のブログ投稿
  

自社の HITRUST CSF 認定をサポートするため、対象範囲内のサービスの AWS HITRUST CSF 認定の活用をご検討ください。HITRUST CSF 認定済みの AWS のサービスに関する最新の一覧は、コンプライアンスプログラムによる AWS 対象範囲内のサービスのウェブページを参照してください。AWS の顧客が使用する範囲に限り、サービスの AWS HITRUST CSF 証明書を継承でき、HITRUST Alliance ウェブサイトに説明されている制限を受けます。顧客は、AWS カスタム HITRUST 責任共有マトリックスをダウンロードして、AWS の顧客が責任共有モデルの一部として継承できる HITRUST 要件を決定することができます。顧客は、MyCSF ユーザーガイドのウェブページで、承継リクエストを開始する方法についてガイダンスを参照してください。

GDPR DPA の効果を享受するために、いかなる対応も不要です。GDPR DPA の条件は AWS のサービス規約に組み込まれており、2018 年 5 月 25 日以降、GDPR DPA は、GDPR の適用対象となる活動を行うお客様に自動的に適用されます。AWS の DPA の詳細については、この AWS Security ブログ投稿をご参照ください。その他の情報については、GDPR センターをご参照ください。

はい。AWS は EU-US Privacy Shield の認定を受けています。 AWS 認定はこちらでご確認いただけます。欧州司法裁判所は 2020 年 7 月に、(EU-US Privacy Shield によって提供された保護の妥当性に関する) 欧州委員会の決定 2016/1250 はもはや有効ではないと宣言する判決を下しましたが、この決定は、EU-US Privacy Shield の枠組みに基づく義務から参加者を開放するものではありません。