Information Security Registered Assessors Program (IRAP)

概要

IRAP

Information Security Registered Assessors Program (IRAP) により、オーストラリア政府のお客様は、適切な制御が実施されていることを検証し、Australian Signals Directorate (ASD) が作成する Australian Government Information Security Manual (ISM) の要件に対応するための適切な責任モデルを策定できます。

データを不正なアクセス、使用、開示から保護する性能は、オーストラリア政府がクラウドサービスを調達、利用する際に、常に主な考慮事項であり続けています。AWS は、お客様が AWS による安全なインフラストラクチャの提供を必要としていること、およびお客様が安全な環境を作れるようにする機能の重要性を認識しています。AWS では、お客様がこれらの目標を達成できるよう、サービスの提供においてセキュリティを最優先事項として、堅牢な制御環境を確立し、セキュリティの幅広いサービスや機能を利用できるようにしています。これらのサービスにより、オーストラリア政府のお客様は、IT の制御環境を包括的に制御し、セキュリティサービスの管理を簡素化し、セキュリティ効果を向上させることができます。

AWS は IRAP に準拠しています。IRAP の独立審査機関により、AWS の従業員、プロセス、およびテクノロジーの制御が調査され、ISM のニーズに対応していることが確認されました。この評価とコンプライアンス証明書は、認証機関が AWS インフラストラクチャを認証する際の保証を得て、プラットフォームの適切な用途について認定機関に推薦を行う根拠となります。

IRAP 評価、およびオーストラリア政府の認証機関として活動している ASD による公式認証のうち最高レベルのものが、機関認定です。この認証は、ISM が要求する該当の制御が AWS で 実施されていることを保証するもので、AWS がオーストラリア政府のワークロード向けであると認定される直接の要因となります。

  • どの IRAP ドキュメントが利用できますか?

    オーストラリア政府のお客様をサポートするために、AWS を認証クラウドサービスプロバイダーとして使用しながら、セキュリティやコンプライアンスに対する理解を強化するために使用できる、セキュリティに関するガイダンスやドキュメントのパッケージを用意しています。AWS は以下のホワイトペーパーを公開しています。

    オーストラリア政府のお客様は、認証や認定の目標を促進するために、AWS に対する ASD の認証と IRAP の独立審査機関によるコンプライアンス証明書を活用できます。以下のドキュメントが公開されています。

    追加の IRAP ドキュメントは、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できます。詳細は、AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページでご確認いただけます。

    • 管理実施概要
    • IRAP レポートステージ 2

    AWS インフラストラクチャにより実施されている制御の評価とテストに関するその他の入手可能なレポート (必要に応じて、NDA に署名していただいたうえで提供):

    • Service Organization Controls 1 (SOC1) Type II レポート
    • Service Organization Controls 2 (SOC2) Type II レポート
    • ISO 27001 証明書および適用可能性ドキュメント
    • PCI Attestation of Compliance および PCI Responsibility Summary

    その他のレポートに関する詳細については、AWS コンプライアンスのよくある質問をご覧ください。

  • IRAP 公認審査機関が必要なのはなぜですか?

    IRAP 公認審査機関は、Information Security Registered Assessors Program (IRAP) の下で、Australian Signals Directorate (ASD) の制御フレームワークである Information Security Manual (ISM) に対する評価を実施する適切な資格があると、ASD によって認定された機関です。

    IRAP 公認審査機関は、情報通信テクノロジー (ICT) システムをオーストラリア政府の Information Security Manual (ISM) に照らして評価する資格を認定された唯一の機関です。また、IRAP 公認審査機関は、準拠と非準拠の範囲の提示、残留リスクと是正措置の提示、認証機関に対する認証の推奨を行います。

  • ISM とは何ですか?

    ISM はオーストラリア政府の Information Security Manual (ISM) で、オーストラリア政府のシステムと情報を保護するという任務を持つ国防省内の組織である Australian Signals Directorate (ASD) により公開されました。

    ISM は、オーストラリア政府の情報通信テクノロジー (ICT) システムのセキュリティを管理する標準で、オーストラリア政府の司法省が作成した Protective Security Policy Framework (PSPF) を補完するものです。ISM および PSPF は、ICT 環境であらゆる種別にわたるワークロードを運用するための適切な制御の実装に使用できるガイドラインを提供しています。

    ASD が認証したクラウドサービスのリストである ASD の Certified Cloud Services List に、あるクラウドサービスプロバイダーを掲載するかどうかを評価するために使用されるのは、この ISM へのコンプライアンスです。オーストラリア政府のクラウドサービスの主要な調達手段である Department of Finance Whole of Government Cloud Services Panel を通して調達されたクラウドサービスで、各機関のワークロードの実行が認定されるには、認証が必要です。

    2014 年 10 月、オーストラリアの金融省と通信省は共同で Australian Government Cloud Computing Policy 3.0 をリリースしました。このポリシーでは、連邦政府機関がクラウドサービスを導入する際に、「クラウド優先」アプローチを採用することを、以下のように要求しています。

    「オーストラリア政府のクラウドポリシーの下で、各機関は、目的に合致する場合は必ずクラウドを導入し、データを適切に保護し、コストを低減する必要があるものとする」

    オーストラリアの情報セキュリティ保護における ASD の役割についての詳細は、ASD ウェブサイトの Information security (InfoSec) role を参照してください。

    irap_graphics
  • AWS は ISM の要件を満たしていますか?

    はい。AWS は Information Security Registered Assessors Program (IRAP) の独立審査機関による監査を受けてきました。この評価では、Amazon の従業員、プロセス、およびテクノロジーのセキュリティ制御が調査され、ASD 2014 ISM のニーズを満たしていることが確認されました。詳細については、AWS ウェブサイトの IRAP ISM コンプライアンス証明書を参照してください。

  • IRAP に関する詳細はどこで確認できますか?

    詳細については、ASD ウェブサイトの IRAP program ページを参照してください。

  • IRAP 評価対象となるのは AWS のどのリージョン、どのサービスですか?

    IRAP 評価と ASD 認証の対象となるのは、AWS シドニーリージョンです。ただし、AWS の運用に使用される制御、ポリシー、およびプロセスは、すべての AWS リージョンで同じです。各機関は、ワークロードとビジネスのニーズに応じて、使用する AWS リージョンを判断する必要があります。

    IRAP 評価の対象範囲内となっている AWS の対象サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスのウェブページで確認できます。

  • IRAP 評価に含まれない AWS の他のサービスを使用できますか?

    はい。使用したいサービスがコンプライアンスプログラムによる AWS 対象範囲内のサービスウェブページに含まれていない場合は、ユーザーのワークロードと AWS の他のサービスとの適性を評価できます。

  • ISM への準拠によって AWS のサービスのコストは増加しますか?

    いいえ。AWS の ISM への準拠によってサービスのコストが増加することは一切ありません。

  • AWS は ASD Certified Cloud Services List に掲載されていますか?

    はい。Australian Signals Directorate (ASD) は AWS の IRAP 評価を完了し、PROTECTED および Unclassified DLM ワークロードの ASD 認証を認定しました。詳細については、ASD Certified Cloud Services List (CCSL) をご参照ください。

    サービスの残留リスクが十分把握されたうえで適切に評価されているかどうかを判断する際に、認証機関としての ASD の深い専門知識を活用することで、オーストラリア政府各機関のコストとリスクは大幅に低減されます。これにより、オーストラリア政府の各省のセキュリティ効果は大幅に向上し、このような評価に関連するコストも削減できます。

compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報を入手しますか?
Twitter でフォローしてください »