一般データ保護規則 (GDPR) センター

お客様による管理

欧州経済地域 (EEA) 外への転送

技術的および組織的対策

• GDPR は AWS の責任共有モデルにどのように影響しますか?

  AWS の責任共有モデルが GDPR によって変わることはなく、お客様にとって引き続き重要です。責任共有モデルは、GDPR に基づいた AWS のさまざまな責任 (データの処理者または補助処理者として)、ならびにお客様の責任 (データ管理者またはデータ処理者として) を説明するために役立つアプローチです。

  責任共有モデルにおいて、AWS には、AWS のサービス (「クラウド「の」セキュリティ」) をサポートする基盤となるインフラストラクチャを保護する責任があります。一方、お客様は、データ管理者またはデータ処理者として行動し、AWS のサービス (「クラウド「内の」セキュリティ」) にアップロードする個人データすべてに対して責任を負います。
  

  AWS の「クラウドのセキュリティ」責任 – AWS は、AWS のサービスで実行されるすべてのインフラストラクチャの保護について責任を負います。このインフラストラクチャは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、施設で構成されています。これにより、お客様は、カスタマーコンテンツを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。サードパーティーの監査人は、AWS がコンピュータセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています (詳細については、AWS コンプライアンのウェブページをご覧ください)。お客様は、これらのレポートから、その顧客データがどのように保護されているかを理解できます。例えば、AWS は、ISO 27001、27017、27018 に準拠しています。ISO 27018 には、顧客データの保護に重点を置いたセキュリティ統制が含まれています。
  

  「クラウド内のセキュリティ」に関するお客様の責任 - AWS のお客様には、AWS のサービスにデプロイすることを選択したアプリケーションとソリューションを設計および保護する責任があります。また、AWS のお客様は、その顧客データの機密性、整合性、およびセキュリティのニーズを保護できる方法で AWS のサービスを設定する責任も負います。お客様が自身のデータを保護するために必要な具体的な責任は、お客様が使用することを選択した AWS のサービスと、それらのサービスをお客様の IT 環境に統合する方法によって異なります。AWS のお客様は自身のデータに対する可視性とコントロールを持ち、データの機密性の種類に基づいて柔軟なセキュリティコントロールを実装できます。お客様は、独自のセキュリティ対策とツールを利用するか、AWS または他のサプライヤが提供するセキュリティ対策とツールを使用することで、これを行うことができます。このようにして、お客様はより機密性の高いデータのために追加のセキュリティ層を導入することができます。
  

  AWS は、お客様がアプリケーションやソリューションを設計および保護するために使用でき、GDPR の要件の処理に役立つようにデプロイできる製品、ツール、サービスを提供いたします。

  • AWS Identity and Access Management (IAM) を使用すると、組織は AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用するお客様は、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
  • AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
  • Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。GuardDuty はインスタンスへの侵入の可能性や攻撃者による偵察も検出します。
  • Amazon Macieは、Amazon S3 に保存された個人データの検出と分類をサポートするための機械学習ツールです。

  GDPR に準拠して AWS リソースを使用する方法の詳細については、AWS での GDPR のコンプライアンスのホワイトペーパーをお読みください。
  

• AWS パートナーは、GDPR コンプライアンスに役立つ製品やサービスを提供していますか?

  はい。AWS パートナーソリューションファインダーで「GDPR」で検索すると、GDPR の遵守に役立つ製品やサービスを提供している ISV、MSP、SI パートナーを見つけることができます。また、AWS Marketplace で「GDPR」のソリューションを探すこともできます。

• AWS は、GDPR への準拠に関してプロフェッショナルサービスによるサポートを提供していますか?

  はい。AWS Security Assurance Services チームは、GDPR の遵守に向けたお客様との取り組みをサポートするさまざまな活動を実施しています。業界認定のコンプライアンス専門家で構成されるこのチームは、適用可能なコンプライアンス標準を AWS のサービス固有の機能に結び付けることにより、お客様がクラウドでコンプライアンスを達成、維持、自動化するのを支援いたします。AWS Professional Services のコンサルタントがお客様をどのようにサポートできるかについての詳細は、こちらをご覧ください。
  

• GDPR を遵守するための取り組みにおいて、AWS Support はどのようにサポートしてくれますか?

  お客様は、AWS Support を活用して、GDPR コンプライアンスへの道のりを支援する技術的助言を受けることができます。AWS では、この活動の一環として、クラウドサポートエンジニアとテクニカルアカウントマネージャー (TAM) のチームを結成し、コンプライアンスに関するリスクの特定と低減をサポートするトレーニングを実施しました。AWS が提供するサポートのレベルは、お客様が選択した AWS Support プランによって異なります。お客様が AWS Premium Support についてお知りになりたい場合は、AWS マネジメントコンソールで利用できる AWS Support Center にアクセスして、詳細を確認できます。この場合、エンタープライズサポート契約で指定した連絡先情報を使用するか、AWS Support のウェブページにアクセスしてください。エンタープライズサポートに登録しているお客様は、GDPR 関連の質問に関して TAM に問い合わせることができます。
  

  お客様が GDPR への準拠に取り組む際に役立つプログラムが 2 つあります。
  

  • クラウド運用のレビュー – AWS Enterprise Support に登録しているお客様が利用できます。このプログラムは、クラウド内での運用アプローチにおいて足りない部分を特定できるように設計されています。このプログラムは、AWS が多数の代表的なお客様との経験から収集した運用上のベストプラクティスに基づき、クラウド運用をレビューして、関連する管理実施策を提案するもので、GDPR への準拠に向けた組織の取り組みに役立ちます。このプログラムでは、優れた運用のために、クラウドベースのシステムの準備、モニタリング、運用、最適化という 4 つの柱によるアプローチを使用しています。
  • Well-Architected レビュー – 各組織は、このプログラムにより、AWS のベストプラクティスと比較して自社のアーキテクチャを評価し、安全性、信頼性、パフォーマンス、費用対効果に優れたアーキテクチャを構築できます。また、お客様は、Well-Architected レビューを使用することで、アーキテクチャのどこにリスクがあるかを把握し、アプリケーションを本番稼働する前に問題を解決できます。
    
    

• 個人データの侵害を通知することに関して、お客様が GDPR に基づく義務を果たすことができるよう、AWS はどのようなサポートを提供していますか?

  AWS には、セキュリティインシデントのモニタリングとデータ侵害の通知プロセスがあり、AWS DPA に従って、不当な遅延なしに AWS のセキュリティ違反をお客様に通知します。また、AWS は、お客様のリソースに対して誰がアクセスできるか、またそのユーザーがいつどこからアクセスしたかを把握するためのツールをいくつか提供しています。このようなツールの 1 つに AWS CloudTrailがあります。これを使用すると、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を実施できるようになります。AWS CloudTrail を使用すると、お客様は AWS インフラストラクチャ全体でアクションに関するアカウントアクティビティをログに記録し、継続的に監視し、情報を保持できます。これにより、各組織は、AWS インフラストラクチャで何が発生しているかを把握でき、異常なアクティビティが発生した場合にはすぐに対策を講じることができます。お客様が GDPR に基づいてデータ管理者としての義務を果たせるようサポートするために AWS がお客様に提供している他のセキュリティツールの詳細については、AWS クラウドのセキュリティに関するウェブページをご覧ください。 

• お客様がサイバー攻撃からデータを保護できるよう、AWS はどのようなサポートを提供していますか?

  AWS は、お客様と AWS パートナーがその顧客データを保護し、サイバー攻撃から防御できるようサポートするため、いくつかのツールを提供しています。そのようなツールの 1 つに AWS Shield があります。これは、分散サービス妨害 (DDoS) に対するマネージド型の保護サービスで、AWS で運用しているウェブサイトとアプリケーションを保護するために使用できます。AWS Shield Standard は追加料金なしで利用でき、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出機能および自動インライン緩和策となります。AWS で運用され、ELB、Amazon CloudFront、Amazon Route 53 のリソースを使用するウェブアプリケーションを標的とした攻撃に対する保護を強化するため、お客様と AWS パートナーは AWS Shield Advanced に登録できます。また、AWS は、AWS を使用して DDoS 攻撃からの回復力に優れたアプリケーションを構築するお客様をサポートするため、AWS Best Practices for DDoS Resiliency を公開し、定期的に更新しています。

  サイバー攻撃から顧客データを保護するために AWS が提供するその他のツールには、以下があります。

  • AWS Identity and Access Management (IAM) を使用すると、組織は AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用すると、お客様と APN パートナーは、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
  • AWS Config を使用すると、お客様と APN パートナーは、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
  • AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
  • Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。GuardDuty はインスタンスへの侵入の可能性や攻撃者による偵察も検出します。

• AWS にあるコンテンツ内の個人データの特定を支援するために利用できるツールにはどのようなものがありますか?

  Amazon Macie は、機械学習とパターンマッチングを使用して AWS の個人データを検出して保護する、フルマネージドのデータセキュリティとデータプライバシーのサービスです。組織で管理するデータが増大するにつれて、大規模な個人データを特定し保護することは、コストや時間のかかる、ますます複雑な作業となります。Amazon Macie では、大規模な個人データの検出を自動化し、データ保護のコストを削減します。Macie では、暗号化されていないバケット、パブリックアクセス可能なバケット、AWS Organizations で定義したもの以外の AWS アカウントと共有されているバケットのリストを含む、Amazon S3 バケットのインベントリが自動的に提供されます。次に、Macie は、選択したバケットに機械学習とパターンマッチングの手法を適用して、個人データを識別してアラートを発信します。
  

  Amazon Macie は、クラウドセキュリティ向けの ISO 27017 規格やクラウドプライバシー向けの ISO 27018 規格など、国際的に認知された規格の認証を受けているため、お客様と APN パートナーは、Macie を使用してデータへのアクセスを継続的にモニタリングし、アクセスパターンに基づいて疑わしいアクティビティを検出できます。
  

• AWS にあるコンテンツ内の個人データへのアクセスを管理するにはどうしたらよいですか?

  AWS は、お客様による GDPR への準拠をサポートするため、AWS のコンテンツに含まれる個人データへのアクセスを管理するツールをいくつか提供しています。次のようなツールがあります。

  • デフォルトのセキュリティとは、AWS のサービスがデフォルトでセキュアになるよう設計されているという意味です。デフォルトの設定が使用された場合、リソースへのアクセスは、アカウント所有者とルート管理者のみに制限されます。
  • AWS Identity and Access Management (IAM)では、AWS のサービスやリソースへのアクセスをお客様が安全に管理できます。IAM を使用して、組織は AWS のユーザーとグループを作成および管理し、アクセス権を使用して、AWS リソースへのユーザーとグループのアクセスを許可および拒否できます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
  • AWS Multi-Factor Authentication を使用すると、AWS アカウントのユーザー名およびパスワードの保護を強化できます。AWS では、MFA デバイスとして仮想デバイスとハードウェアデバイスのいずれかを選択できます。
  • AWS Directory Service を使用すると、社内ディレクトリとの統合および連携によって管理オーバーヘッドを削減し、エンドユーザーエクスペリエンスを向上できます。
  • AWS Config を使用すると、お客様は、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
  • AWS CloudTrail では、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
  • Amazon Macie は、機械学習を使用し、AWS にある機密データを自動的に検出、分類、保護することにより、お客様がデータを失うことがないようサポートするサービスです。完全マネージド型のサービスで、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。例えば、機密データへの外部アクセスをお客様が誤って許可したような場合です。
     

• 不正なアクセスを防止するため、AWS で顧客データを暗号化するにはどうしたらよいですか?

  AWS は、お客様と AWS パートナーが GDPR におけるデータ管理者としてデータ処理のセキュリティに関する義務を果たせるよう、クラウド内で保管中の顧客データのセキュリティを強化する機能を提供しています。AWS では次のような暗号化ツールを利用できます。

  • Amazon Elastic Block Store、Amazon S3、Amazon Glacier、Amazon DynamoDB、Oracle RDS、SQL Server RDS、Redshift といった、ストレージやデータベースに関する AWS のサービスで利用可能なデータ暗号化機能
  • 暗号化キーを AWS 側で管理するか、お客様が完全に自分で管理するかを選択できる、AWS Key Management Service などの柔軟なキー管理オプション
  • Amazon SQS のサーバー側暗号化 (SSE) を使用した、機密データ送信向けの暗号化メッセージキュー
  • お客様がコンプライアンスの要件を満たせるようにする、AWS CloudHSM を使用した専用の、ハードウェアベースの暗号化キーストレージ

   

  さらに、AWS には、AWS 環境内でお客様や APN パートナーが開発またはデプロイしたどのサービスにも暗号化とデータ保護を統合できる API が用意されています。

• GDPR への準拠を支援するために AWS がお客様に提供するサービスにはどのようなものがありますか?

  AWS では、お客様が GDPR の要件を満たすための特定の機能とサービスを提供しています。

  アクセスコントロール: 承認された管理者、ユーザー、およびアプリケーションにのみ AWS リソースへのアクセスを許可する

  • 多要素認証 (MFA)
  • Amazon S3 バケット/Amazon SQS/Amazon SNS のオブジェクトおよびその他への詳細レベルのアクセス
  • API リクエスト認証
  • 地域制限
  • AWS Security Token Service による一時的アクセストークン

  モニタリングとロギング: AWS リソースのアクティビティの概要を確認

  • AWS Config によるアセット管理と設定
  • AWS CloudTrail によるコンプライアンス監査およびセキュリティ分析
  • AWS Trusted Advisor による設定上の課題の識別
  • Amazon S3 オブジェクトへのアクセスの詳細なログ
  • Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
  • ルールベースの設定チェックと AWS Config ルールによるアクション
  • AWS CloudFront の AWS WAF 機能を使用したアプリケーションへの HTTP アクセスのフィルタリングとモニタリング

  暗号化: AWS のデータを暗号化する

  • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
  • マネージド型一元キー管理 (AWS リージョン使用)
  • VPN-Gateways による AWS への IPsec トンネル
  • AWS CloudHSM によるクラウド上の専用の HSM モジュール

  格なコンプライアンスフレームワークとセキュリティ基準: 以下のような厳格な国際基準への準拠を示します。

  • 技術的対策のための ISO 27001
  • クラウドのセキュリティのためのISO 27017
  • クラウドのプライバシーのためのISO 27018
  • SOC 1、SOC 2 および SOC 3、 PCI DSS レベル 1、
  • BSI の 共通クラウドコンピューティングコントロールカタログ (C5)
    
  • ENS「高」