クラウドにおける IRAP について教えてください

 

 

AWS IRAP コンプライアンス

データを不正なアクセス、使用、および開示から保護する性能は、オーストラリア政府でクラウドサービスを調達して活用する際に、依然として主な考慮事項となっています。AWS では、お客様が AWS による安全なインフラストラクチャの提供を必要としていること、およびお客様がより安全な環境を作れるようにする機能の重要性を認識しています。AWS では、お客様がこれらの目標を達成できるよう、サービスの提供においてセキュリティを最優先事項として、堅牢な制御環境を確立し、セキュリティの幅広いサービスや機能を利用できるようにしています。これらのサービスにより、オーストラリア政府のお客様は、IT の制御環境を包括的に制御し、セキュリティサービスの管理を簡素化し、セキュリティ効果を向上させることができます。

Information Security Registered Assessors Program (IRAP) により、オーストラリア政府のお客様は、適切な制御が実施されていることを検証し、Australian Signals Directorate (ASD) Information Security Manual (ISM) のニーズに対応するための適切な責任モデルを特定できます。

IRAP の独立審査機関により、AWS の従業員、プロセス、およびテクノロジーの制御が調査され、ISM のニーズに対応していることが確認されました。この評価とコンプライアンス証明書は、認証機関が AWS インフラストラクチャを認証する際の保証を得て、プラットフォームの適切な用途について認定機関に推薦を行う根拠となります。

IRAP 評価、およびオーストラリア政府の認証機関として活動している ASD による公式認証のうち最高レベルのものが、機関認定です。この認証により、AWS で ASD の ISM の該当する制御が実施されていることが保証され、AWS がオーストラリア政府のワークロード向けであると認定される直接の要因となります。

この認証により、個別の機関やその商業パートナーは、その組織のワークロード向けにクラウドプラットフォームの評価や認証を行うという大きな負担を負う必要がなくなり、その組織のシステムの認定プロセスに注意を集中できます。



AWS では、ASD の ISM の制御や各機関のガイドラインやポリシーに沿ってお客様のデータを保護するために幅広いセキュリティ機能を提供しています。また、お客様に提供するセキュリティツールのテストを継続的に繰り返しており、既存のセキュリティ機能の強化を定期的にリリースしています。さらに、さまざまなホワイトペーパー、オンラインドキュメント、およびセキュリティに関する動画をお客様に提供しています。世界中で公開している AWS のホワイトペーパーではデータの保護に関する推奨事項を記載しており、これはオーストラリア政府の AWS ワークロードにもまったく同様に適用できます。

IRAP AWS クラウド

AWS の IRAP セキュリティに関するドキュメントやガイダンスをどのように使用できますか?

オーストラリア政府のお客様は、認証や認定の目標を促進するために、AWS に対する ASD の認証と IRAP の独立審査機関によるコンプライアンス証明書を活用できます。

オーストラリア政府のお客様をサポートするために、AWS を認証クラウドサービスプロバイダーとして使用しながら、セキュリティやコンプライアンスに対する理解を強化するために使用できる、セキュリティに関するガイダンスやドキュメントのパッケージを用意しています。 

特に、IRAP による AWS インフラストラクチャの ISM に対する評価については、政府組織やそのパートナーのお客様に、必要に応じて NDA に署名していただいたうえで提供します。

-          ISM に対する AWS のコンプライアンスに関する IRAP のレポート

-          AWS インフラストラクチャプラットフォームに関する ASD の認証証明書

-          IRAP ISM コンプライアンス証明書

-          管理実施概要

AWS インフラストラクチャにより実施されている制御の評価とテストに関するその他の入手可能なレポート (必要に応じて、NDA に署名していただいたうえで提供):

-          Service Organisation Controls 1 (SOC1) Type II レポート

-          Service Organisation Controls 2 (SOC2) Type II レポート

-          ISO27001 証明書および適用可能性ドキュメント

-          PCI Attestation of Compliance および PCI Responsibility Summary

その他のレポートに関する詳細については、AWS コンプライアンスよくある質問をご覧ください。

オーストラリア政府のお客様、またはオーストラリア政府との業務を実施する請負業者に関係する AWS のセキュリティドキュメントの入手をリクエストするには、AWS の営業および事業開発にご連絡いただくか、awscompliance@amazon.com まで E メールをご送信ください。

     

IRAP 審査機関は、オーストラリア政府の ISM に対する ICT システムの評価を実行する資格がある唯一の公認機関で、コンプライアンスと非コンプライアンスの分野、および残留リスクと改善行動について説明し、認証について認証機関に推奨を行います。

IRAP 評価

以下のドキュメントが公開されています。

統制実装の要約IRAP レポートステージ 2 は、顧客が AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できます。今すぐ AWS Artifact の使用を開始する

はい。AWS は 2015 年 3 月 31 日以降、この委員会のメンバーです。政府機関のお客様は、事前に評価されたプロバイダーと一般的な契約のフレームワークにより、クラウドサービスに関連するコストを下げ、調達プロセスを簡素化できます。この調達の簡易化により、政府機関のお客様は、オーストラリア市民に効果的にサービスを提供するのに必要なペースで、計画を実施できます。

ISM はオーストラリア政府の Information Security Manual (ISM) で、オーストラリア政府のシステムと情報を保護するという任務を持つ国防省内の組織である Austral an Signals Directorate (ASD) により公開されました。

オーストラリアの情報セキュリティを保護するうえでの ASD の役割については、http://www.asd.gov.au/about/roleinfosec.htm をご覧ください。

     

はい。AWS は Information Security Registered Assessors Program の独立審査機関による監査を受けてきました。この評価では、Amazon の従業員、プロセス、およびテクノロジーのセキュリティ制御が調査され、ASD 2014 ISM のニーズを満たしていることが確認されました。

既に IRAP 評価の対象範囲内となっている AWS の対象サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。このサービスの使用方法やその他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。

いいえ。AWS が ISM に準拠した結果として、いずれかのリージョンでサービスコストが増加することはありません。

はい。AWS は、認証機関である Australian Signals Directorate (ASD) により Unclassified DLM (UD) ワークロードの認証を受けており、ASD Certified Cloud Services List (CCSL) の最初からのメンバーです。

サービスの残留リスクが十分把握されており、適切に評価されているかどうかを判断する際に、認証機関としての ASD の深い専門知識を活用するなら、各機関のコストとリスクは大幅に低減されます。これにより、オーストラリア政府の各省のセキュリティ効果は大幅に向上し、このような評価に関連するコストも削減できます。

2014 年 10 月、オーストラリアの金融省と通信省は共同で Australian Government Cloud Computing Policy 3.0 をリリースしました。このポリシーでは、連邦政府機関がクラウドサービスを導入する際に、"クラウド優先" アプローチを採用することを、以下のように要求しています。

 オーストラリア政府のクラウドポリシーの下で、各機関は、適切な場合は必ずクラウドを導入し、データを適切に保護し、コストを低減する必要があるものとする

ISM は、政府の情報通信テクノロジー (ICT) システムのセキュリティを管理する標準で、オーストラリア政府の司法省が作成した Protective Security Policy Framework (PSPF) を補完するものです。これら 2 つのポリシーは、適切な制御を実施して、ICT 環境のワークロードに関するすべての分類を運用するためのマニュアルとなります。

ASD が認証したクラウドサービスのリストである ASD の Certified Cloud Services List に、あるクラウドサービスプロバイダーを掲載するかどうかを評価するために使用されるのは、この ISM へのコンプライアンスです。オーストラリア政府のクラウドサービスの主要な調達手段である Department of Finance Whole of Government Cloud Services Panel を通して調達されたクラウドサービスで、各機関のワークロードの実行が認定されるには、認証が必要です。

     
Information Security Registered Assessors Program の下で、Australian Signals Directorate (ASD) の制御フレームワークである Information Security Manual (ISM) に対する評価を実施する資格があると、ASD によって適切に認定された機関です。      

IRAP 評価と ASD 認証の対象となるのは、AWS シドニーリージョンです。ただし、AWS の運用に使用される制御、ポリシー、およびプロセスは、すべてのリージョンで同じです。各機関は、ワークロードとビジネスのニーズに応じて、使用する AWS リージョンを判断する必要があります。

はい。お客様は、ワークロードが AWS の他のサービスに適しているかどうかを評価できます。セキュリティ制御とリスク受容の詳細な考慮事項については、AWS の営業および事業開発までお問い合わせください。      

 

お問い合わせ