AWS コンプライアンスに関するよくある質問
全般
すべて開く1.AWS の年次ベンダー/サプライヤー/デューデリジェンスアンケートに回答するための最良の方法は何ですか?
AWS のセキュリティとコンプライアンスに関する立場を記録するアンケートへの回答にあたってサポートが必要な場合に備えて、AWS では、クラウドや AWS のビジネスモデルの文脈におけるセキュリティやコンプライアンスに関するお客様の疑問を解消するために必要なリソースを提供するために設計された、推奨されるアプローチを採用しています。セキュリティとコンプライアンスのアンケートに回答するために最も頻繁に使用されるリソースは次のとおりです。
- AWS Artifact – AWS Artifact は、重要なコンプライアンス関連情報の頼りになる一元管理型のリソースです。AWS Artifact では、AWS のセキュリティおよびコンプライアンスレポートと特定のオンライン契約にオンデマンドでアクセスできます。AWS Artifact には、Service Organization Control (SOC)、Payment Card Industry (PCI) 準拠証明書、AWS セキュリティ制御の実装と運用の有効性を検証する、さまざまな地域やコンプライアンス垂直市場の認定機関からの認定が含まれます。AWS Artifact で利用可能な契約には、事業提携契約 (BAA) と機密保持契約 (NDA) が含まれます。
- AWS コンプライアンスプログラムのウェブページ - AWS コンプライアンスプログラムは、クラウドのセキュリティとコンプライアンスを維持するために AWS に導入されている堅牢な制御について理解するのに役立ちます。
- AWS データセンターコントロールのウェブページ – 多くのアンケートには、データセンターの物理的なセキュリティに関連する質問のセクションが含まれます。このウェブページでは、当社の物理的制御および環境的制御のインサイトの一部を紹介します。
- AWS リスクおよびコンプライアンスホワイトペーパー – このドキュメントでは、一般的なクラウドコンピューティングのコンプライアンスの問題について AWS 固有の情報を確認できます。
- CSA コンセンサス評価イニシアチブのアンケート – CSA コンセンサス評価イニシアチブのアンケートでは、CSA が予測した、クラウドの消費者や監査人がクラウドプロバイダーに尋ねる可能性が高い質問一式を確認できます。セキュリティ、制御、プロセスに関する一連の質問を確認し、クラウドプロバイダーの選択やセキュリティ評価などの幅広い用途に活用できます。このドキュメントには、CSA のアンケートに対する AWS の回答が含まれます。
- AWS CyberGRX 評価 – AWS CyberGRX レポートを活用して、古くなった静的スプレッドシートを置き換えることでサプライヤーのデューデリジェンスの負担を軽減できます。また、AWS 評価へのアクセスを毎年繰り返しリクエストする必要もなくなります。また、CyberGRX の Framework Mapper 機能を使用して、AWS 評価を一般的に使用されている業界のフレームワークや標準にマッピングして、制御範囲を即座に可視化できます。
- AWS CyberVadis 評価 – AWS CyberVadis リスク評価レポートとスコアカードをサプライヤーのデューデリジェンスに活用できます。CyberVadis の評価により、AWS のレスポンスを分析や高度なリスクモデルと統合することで高度な機能を提供し、AWS のセキュリティ体制を詳細に把握できます。CyberVadis の結果を使用して、AWS 評価を一般的に使用されている業界のフレームワークや標準にマッピングして、制御範囲を即座に可視化できます。
- SIG アンケート - 標準化情報収集 (SIG) アンケートは、Shared Assessment の SIG アンケートツールをご利用のお客様が、サードパーティーリスク評価のプロセスを標準化するために使用することを想定しています。AWS は、AWS のお客様の AWS クラウドのデューデリジェンスプロセスを支援するため、説明的な回答を含むアンケートを完成させました。SIG は AWS Artifact でご確認いただけます。
2.一般的なクラウドセキュリティとコンプライアンス標準に準拠している AWS のサービスはどれですか?
AWS 対象範囲内のサービスのウェブページで、一般的なコンプライアンス標準に準拠していると評価されるサービスのリストをご確認いただけます。
3.AWS には補助処理者がいますか?
AWS は、お客様の代わりに特定の処理活動を行うため、または、データセンター施設の管理活動を行うため、AWS 補助処理者のウェブページにリストされている事業者を従事させる場合があります。また、このウェブページでは、補助処理者のリストが変更された場合に E メール通知をサブスクライブするオプションを提供しています。
4.AWS のデータプライバシーについてどこで学ぶことができますか?
データプライバシーについては、AWS データプライバシーセンターでご紹介しています。このウェブページでは、AWS のプライバシー、プライバシーに関する法律と規制、よくある質問、リソースに関する情報をご覧いただけます。
5.事業継続性またはディザスタリカバリポリシーのため、AWS データセンターの場所を教えてください。
AWS では、お客様のデータのセキュリティとプライバシーを維持するために、データセンターの場所を秘密情報として厳に保護しています。AWS リージョンの命名規則は、そのリージョンを構成するアベイラビリティーゾーンとデータセンターの一般的な地理的ロケーションを示しています。データセンターの一般的なロケーションに関する追加の詳細は、AWS Artifact から入手可能な PCI-DSS レポートに記載されています。 詳細については、「AWS グローバルインフラストラクチャのウェブページ」をご覧ください。
6.AWS データセンターのセキュリティと回復性をどのように評価すればよいですか?
お客様は、AWS がデータセンターについて実施しているすべてのセキュリティ制御を検討することで、AWS の物理的なインフラストラクチャのセキュリティと回復性を評価できます。当社の物理的なセキュリティと回復性の制御をより深く理解していただくため、独立した有能な監査人が、AWS Artifact を通じてお客様に提供する SOC レポートの一部として、制御の存在と運用を検証しています。この広く認められたサードパーティーによる検証は、実施されている制御の有効性を独立した立場でお客様に対して証明するものです。データセンターの物理的セキュリティの独立したレビューは、ISO 27001、PCI、ITAR、および FedRAMP のコンプライアンスプログラムの一部でもあります。
7.AWS はユーザーによるデータセンターの物理的なツアーを許可していますか?
いいえ。AWS のデータセンターは複数の顧客をホストしているため、サードパーティーの物理的アクセスに幅広い顧客がさらされることになるため、顧客によるデータセンターのツアーは許可していません。しかし、お客様や一般の方は、AWS データセンターのデジタルツアーに参加し、私たちのインフラストラクチャや制御について、ウェブサイト上で理解を深めることができます。
8.AWS の利用者によるディザスタリカバリ計画の一環としての評価において重要な要素は何ですか?
ディザスタリカバリ計画の一環として AWS を評価するお客様は、最初に回復性の目標を特定し、回復性とディザスタリカバリについての適用される規制要件を検討する必要があります。その後、お客様は、回復性の目標と規制要件を満たす AWS 環境を設計できます。例えば、環境リスクを軽減するために、お客様は AWS ワークロードを設計して、物理的に分離されたアベイラビリティーゾーンとリージョンを利用して目的を達成できます。AWS のお客様は、事業継続やディザスタリカバリ計画を立てる際に、AWS Well Architected Framework の信頼性の柱に含まれるベストプラクティスを活用する必要があります。ディザスタリカバリの推奨事項の詳細については、「AWS でのワークロードのディザスタリカバリ: クラウドでのリカバリ」をご参照ください。
コンプライアンス報告
すべて開く1.SOC レポート、PCI 準拠証明書、SIG アンケートなどの AWS コンプライアンスレポートはどこでダウンロードできますか?
AWS Artifact は、世界、地域、および業界固有のさまざまなセキュリティの基準および規制に対するコンプライアンスをテストおよび検証したサードパーティーの監査人が発行したコンプライアンスレポートを提供します。新しいレポートがリリースされると、AWS Artifact でダウンロードが可能になります。詳細については、「コンプライアンスレポートに関するよくある質問」をご覧ください。また、AWS マネジメントコンソールから AWS Artifact に直接アクセスできます。
2.AWS SOC 1 レポートおよび SOC 2 レポートのブリッジレターはどこにありますか?
年に複数回発行される 12 か月の SOC レポートによって提供される AWS の継続的な適用範囲に基づき、ブリッジレターやギャップレターの代わりに SOC 継続運用レターを発行しています。定期的に発行されるこれらのレターは、AWS マネジメントコンソールの AWS Artifact でダウンロードできます。
3.AWS SOC レポートは、レポート期間の終了時に失効しますか?
いいえ。SOC 監査は一定期間にわたって実行されます。監査期間が終了すると、レポートが作成され、約 6 週間でご利用が可能となります。2023 年 9 月 30 日から、AWS は 12 か月間の SOC レポートを年に複数回発行します。SOC 1 レポートは四半期ごとに発行され、SOC 2 および SOC 3 レポートは6 か月ごとに発行されます。新しい SOC レポートがリリースされると、AWS Artifact でダウンロードが可能になります。
4.エンドカスタマーはどのようにして AWS SOC 1 レポートおよび SOC 2 レポートのコピーを入手できますか?
AWS は、SOC 1 または SOC 2 レポートのコピーをお客様に提供させていただいています。お客様の顧客を最大限にサポートするために、AWS Artifact の開始方法のガイドを利用して、自身の AWS アカウントを使用して SOC 1 または SOC 2 レポートをダウンロードすることをお勧めします。アカウントの作成は無料です。アカウントにログイン後、AWS コンソール内の [セキュリティ、アイデンティティ、コンプライアンス] の [アーティファクト] に移動して、利用可能なレポートにアクセスできます。
また、特定の AWS コンプライアンスレポートに適用される利用規約で認められている場合は、AWS Artifact から AWS コンプライアンスレポートをダウンロードし、直接お客様と共有することができます。そのレポートの共有が認められているかどうかは、AWS Artifact からダウンロードした AWS コンプライアンスレポートの 1 ページ目に記載されている利用規約をご覧のうえご確認ください。
また、AWS SOC 3 レポートを SOC コンプライアンスのウェブページで公開しています。SOC 3 レポートは、AWS SOC 2 レポートを要約したものです。これは、外部監査人の意見を含め、AWS が AICPA の Trust サービス原則に定められた基準に基づいてコントロールの効果的な運用を維持していることを保証します。
コンプライアンスプログラム
すべて開く1.AWS は HIPAA の認証を受けていますか?
AWS のようなクラウドサービスプロバイダー (CSP) に対する HIPAA 認証はありません。ただし、AWS は HIPAA リスク管理プログラムを、米国保健社会福祉省におけるプライバシー規則 (45 CFR パート 160、パート 164 のサブパート A と E)、セキュリティ規則 (45 CFR パート 160、パート 164 のサブパート A と C)、HIPAA Administrative Simplification Regulations (45 CFR 160、162、164)、FedRAMP、NIST 800-30、NIST 800-53 と対応させています。NIST では、これに役立つものとして、NIST 800-53 を HIPAA セキュリティ規則に対応させる方法を文書化した、SP 800-66 Rev. 1、An Introductory Resource Guide for Implementing the HIPAA Security Ruleを発行しています。AWS での HIPAA コンプライアンスの詳細については、AWS HIPAA ウェブページをご覧ください。
2.AWS では、HIPAA の規則と規制で説明されているように事業提携契約 (BAA) を締結しますか?
はい。AWS では、お客様と締結する標準 BAA を用意しています。この事業提携契約では、AWS で提供される固有のサービスが考慮に入れられており、AWS 責任共有モデルに対応しています。
アカウント、または AWS Organizations の組織の一部であるすべてのアカウントの BAA のステータスを確認、承認、および管理するには、AWS マネジメントコンソールから AWS Artifact にサインインします。
3.AWS のサービスが HIPAA 適格であるとはどういう意味ですか?
AWS では、HIPAA で要求されるセキュリティ、制御、および管理のプロセスを特に HIPAA 適格サービスで実行できるよう、標準ベースのリスク管理プログラムをサポートしています。お客様は、HIPAA アカウントとして指定されたアカウントで任意の AWS のサービスを使用できますが、HIPAA 適格サービスを使用して、保護対象保健情報 (PHI) のみを処理、保存、および送信する必要があります。AWS での HIPAA コンプライアンスの詳細については、次の AWS リソースをご参照ください。
4.AWS で HITRUST に準拠することは可能ですか?
独自の HITRUST CSF 認定をサポートするため、対象範囲内のサービスの AWS HITRUST CSF 認定の活用をご検討ください。HITRUST CSF 認定済みの AWS のサービスの最新のリストについては、「AWS 対象範囲内のサービスのウェブページ」をご参照ください。AWS のお客様は、対象サービスのみを使用し、HITRUST Alliance のウェブサイトに記載されている制限を適用することを条件として、AWS の HITRUST CSF 認証を継承できます。お客様は、AWS カスタム HITRUST 責任共有マトリックスをダウンロードして、AWS のお客様が責任共有モデルの一部として継承できる HITRUST 要件を決定することができます。承継リクエストを開始する方法についてのガイダンスについては、MyCSF ユーザーガイドのウェブページをご覧ください。
5.AWS と GDPR 準拠のデータ処理補遺 (DPA) を締結するにはどうすればよいですか?
GDPR DPA の効果を享受するために、いかなる対応も不要です。GDPR DPA の条件は「AWS サービス規約」に組み込まれており、2018 年 5 月 25 日以降、GDPR DPA は、GDPR の適用対象となる活動を行うお客様に自動的に適用されます。AWS の DPA の詳細については、この AWS Security ブログ投稿をご参照ください。その他の情報については、GDPR センターにアクセスしてください。
6.AWS はどのリージョンのプログラムに準拠していますか?
AWS コンプライアンスプログラムは、クラウドのセキュリティとコンプライアンスを維持するために AWS に導入されている堅牢な制御について理解するのに役立ちます。AWS が準拠している特定のリージョン (グローバル、アメリカ、アジア太平洋、欧州、中東、アフリカ) プログラムについては、 AWS コンプライアンスプログラムのウェブページをご覧ください。
