Information Security Registered Assessors Program (IRAP)

概要

IRAP

Information Security Registered Assessors Program (IRAP) により、オーストラリア政府のお客様は、適切な制御が実施されていることを検証し、オーストラリアサイバーセキュリティセンター (ACSC) が作成するオーストラリア政府の情報セキュリティマニュアル (ISM) の要件に対応するための適切な責任モデルを策定できます。

データを不正なアクセスおよび不正開示から保護する性能は、オーストラリア政府がクラウドサービスを調達および利用する際に、常に主な考慮事項であり続けています。AWS は、お客様が AWS インフラストラクチャの安全な配信に依拠し、安全な環境を作成できるようにする機能を重要視していることを認識しています。AWS では、お客様がこれらの目標を達成できるよう、サービスの提供においてセキュリティを最優先事項として、堅牢な制御環境を確立し、セキュリティの幅広いサービスや機能を利用できるようにしています。これらのサービスにより、オーストラリア政府のお客様は、IT の制御環境を包括的に制御し、セキュリティサービスの管理を簡素化し、セキュリティ効果を向上させることができます。

AWS クラウドサービスは ISM に準拠しているものとして評価されています。IRAP の独立審査機関が、ISM の要件に照らして、人員、プロセス、テクノロジーなどの AWS の制御を調査しました。 この評価は、AWS が提供している製品に関して、PROTECTED レベルでオーストラリア政府のワークロードに必要となる適切な制御が実装されていることを保証するものです。

  • CSCP および CCSL の停止によりどのような影響が生じていますか?

    2020 年 3 月 2 日 (月) に、オーストラリア通信電子局 (ASD) とデジタル変換庁 (DTA) は、Cloud Services Certification Program (CSCP) と Information Security Registered Assessors Program (IRAP) のレビュー結果を発表しました。レビューでは、次の推奨事項が提示されました。

    • CSCP を終了し、業界と連携して新しいクラウドセキュリティガイドラインを共同で設計して作成すること
    • IRAP を拡大し、強化すること
    • サイバーセキュリティに関する Government and Industry Consultative Forums (政府および業界相談フォーラム) を設立すること
    • CSCP の停止を踏まえて Procurement and Administrative Instructions and Guidance (調達および管理に関する指示およびガイドライン) のインセンティブを更新すること

    2020 年 3 月 2 日をもって、ASD は認証局ではなくなり、再認証活動を含むすべての認証活動が中止されました。すべての ASD 証明書および再証明書は 2020 年 7 月 27 日から無効になります。また、オーストラリア政府の情報セキュリティマニュアル (ISM) が更新され、認定クラウドサービスリスト (CCSL) からクラウドサービスを選択する必要がなくなりました。

    オーストラリア政府の Secure Cloud Strategy (安全なクラウド戦略) の下で、連邦政府機関は、ICT システムの評価にすでに使用されている手法を使用して、クラウドサービスを自己評価できます。

    現状 :

    2020 年 7 月 27 日、オーストラリアサイバーセキュリティセンター (ACSC) とデジタル変換庁 (DTA) は、政府と業界全体でクラウドサービスの安全な導入をサポートするために業界と連携して共同設計した新しいクラウドセキュリティガイダンスを公表しました。AWS は、評価結果の最新性を維持し、新しいサービスを導入するために、引き続き IRAP 評価を実施します。連邦機関は引き続き、自身の保証およびリスク管理活動に責任を負います。オーストラリア政府の Secure Cloud Strategy (安全なクラウド戦略) に従って、連邦政府機関は、ICT システムの評価にすでに使用されている手法を使用して、クラウドサービスを自己評価できます。ASD は、業界と連携して共同設計されたガイドラインの開発を通じて、既存のクラウドセキュリティガイダンスを強化します。これらのガイドラインにより、連邦政府機関とオーストラリアの企業は、サイバーセキュリティをさらに強化するとともに、耐障害性をより高めることができます。

    これまで、ASD は、組織がクラウドサービスに関連して適切なセキュリティ評価を実施するための多くの有用なガイドを開発してきました。あらゆる評価が、次のような ISM および ASD クラウドセキュリティガイダンスのセキュリティコントロールに明確に対応するものとなっているようにすることが推奨されています。

    DTA は、引き続き、連邦政府機関がオーストラリア政府の安全なクラウド戦略に基づいて、クラウドサービスを採用することを奨励しています。

  • どの IRAP ドキュメントが利用できますか?

    オーストラリア政府のお客様をサポートするために、当社では、AWS を使用しながら、セキュリティやコンプライアンスに対する理解を強化するために使用できる、セキュリティに関するガイダンスやドキュメントのパッケージを用意しています。AWS は以下の資料を公開しています。

    AWS コンプライアンスレポートへのオンデマンドアクセス用のセルフサービスポータルである AWS Artifact を介して IRAP PROTECTED パックにアクセスできます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法で詳細をご覧ください。この情報により、オーストラリア政府の安全なクラウド戦略に基づいて AWS で構築されるシステムを計画、設計、および自己評価することができます。このパックは、公共部門のお客様に AWS を PROTECTED レベルで評価するために必要なすべてのものを提供し、個々の機関が AWS のサービスを採用するプロセスを簡素化するのに役立ちます。パックに含まれるドキュメントは次のとおりです。

    • コンプライアンスレター
    • 管理実施概要
    • IRAP ステージ 2 レポート
    • リファレンスアーキテクチャ
    • 消費者ガイド

    AWS インフラストラクチャにより実施され、必要に応じて NDA に署名していただいたうえで提供されている制御の評価とテストに関するその他の入手可能なレポート (必要に応じて NDA に署名していただいたうえで提供):

    • Service Organisation Controls 1 (SOC1) Type II レポート
    • Service Organisation Controls 2 (SOC2) Type II レポート
    • ISO 27001 認証 および適用宣言
    • PCI 準拠証明書と PCI 責任の概要

    PROTECTED 分類レベルで政府の機密データを処理するための ISM 要件を満たす、AWS コントロールを使用するクラウドベースのワークロードを作成するユーザーは、クイックスタートをご利用いただけます。IRAP PROTECTED リファレンスアーキテクチャを AWS クラウドに 1 時間以内に自動的にデプロイします。リファレンスアーキテクチャは、ISM PROTECTED 要件を満たすセキュリティおよび管理サービスが関連付けられた多層ウェブアプリケーションをサポートするために、複数の AWS のサービスがどのように統合されるかを示しています。このソリューションは、IRAP PROTECTED リファレンスアーキテクチャで概説されている多くのコントロールを実装していますが、推奨されるすべてのコントロールがこのクイックスタートに含まれているわけではありません。このソリューションを使用して保護対象データを保存する前に、AWS Artifact で利用可能な IRAP PROTECTED パッケージのガイダンスに従うことを忘れないでください。

    その他のレポートに関する詳細については、AWS コンプライアンスのプログラムを参照してください。

  • IRAP 公認審査機関が必要なのはなぜですか?

    IRAP 公認審査機関は、オーストラリア全土における ICT の専門集団であり、Information Security Registered Assessors Program (IRAP) に基づき、オーストラリア通信電子局 (ASD) により、ASD の制御フレームワークである情報セキュリティマニュアル (ISM) に照らして情報通信技術 (ICT) システムを評価するための適切な資格があると認定されています。

    IRAP 審査機関は、ICT、セキュリティ評価、リスク管理に必要な経験と資格、およびオーストラリア政府の情報セキュリティに関するコンプライアンス要件に関する詳しい知識を有しています。

  • ISM とは何ですか?

    オーストラリア政府の情報セキュリティマニュアル (ISM) は、組織が情報通信技術 (ICT) システムをサイバー脅威から保護するために適用できるサイバーセキュリティフレームワークの概要を示しています。オーストラリア政府の司法省が作成した Protective Security Policy Framework (PSPF) を補完するものです。ISM と PSPF は、連邦政府機関が ICT 環境で適切な制御を実装するためのガイドラインと義務を規定してします。さらに、連邦政府機関は、自らが公開し、または自らのために具体的に公開された関連するガイダンスを考慮する必要があります。

    2017 年、デジタルトランスフォーメーションエージェンシー (DTA) は他の政府機関や業界と協力して、セキュアクラウド戦略を開発しました。この戦略は、政府機関によるクラウドテクノロジーの使用を支援することに重点を置いています。

    ISM は、オーストラリア政府の国家サイバーセキュリティの主要組織であり、オーストラリア通信電子局 (ASD) の一部でもある、オーストラリアサイバーセキュリティセンター (ACSC) によって発行されています。

    オーストラリアのサイバーセキュリティの促進と改善における ACSC の役割の詳細については、ASD のウェブサイトまたは ACSC のウェブサイトのサイバーセキュリティに関するウェブページを参照してください。

  • AWS は ISM の要件を満たしていますか?

    はい。AWS クラウドサービスは、IRAP 独立審査機関によって評価されています。この評価では、Amazon の人員、プロセス、およびテクノロジーのセキュリティコントロールが調査されました。この評価は、これらの製品に関して、PROTECTED レベルでオーストラリア政府のワークロードに必要とされる適切なコントロールを AWS が実施していることを保証するものです。詳細については、AWS Artifact にアクセスして、最新の評価から IRAP PROTECTED パックにアクセスすることもできます。

  • IRAP に関する詳細はどこで確認できますか?

    詳細については、ACSC ウェブサイトの IRAP のウェブページを参照してください。

  • IRAP 評価対象となる AWS のリージョンおよびサービスはどれですか?

    IRAP 評価は、AWS シドニーリージョンの範囲内のサービスを対象としています。IRAP 評価の対象範囲内となっている AWS のサービスは、コンプライアンスプログラムによる対象範囲内の AWS のサービスのウェブページで確認できます。

  • IRAP 評価に含まれない他の AWS のサービスを使用できますか?

    はい、クラウドサービスの使用を規定する適用される規制、ポリシー、およびガイドラインの遵守が条件となります。使用したいサービスがコンプライアンスプログラムによる対象範囲内の AWS のサービスのウェブページに含まれていない場合は、ユーザーのワークロードと他の AWS のサービスとの適性を評価できます。

compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »