データを不正なアクセス、使用、および開示から保護する性能は、オーストラリア政府でクラウドサービスを調達して活用する際に、依然として主な考慮事項となっています。AWS では、お客様が AWS による安全なインフラストラクチャの提供を必要としていること、およびお客様がより安全な環境を作れるようにする機能の重要性を認識しています。AWS では、お客様がこれらの目標を達成できるよう、サービスの提供においてセキュリティを最優先事項として、堅牢な制御環境を確立し、セキュリティの幅広いサービスや機能を利用できるようにしています。これらのサービスにより、オーストラリア政府のお客様は、IT の制御環境を包括的に制御し、セキュリティサービスの管理を簡素化し、セキュリティ効果を向上させることができます。
Information Security Registered Assessors Program (IRAP) により、オーストラリア政府のお客様は、適切な制御が実施されていることを検証し、Australian Signals Directorate (ASD) Information Security Manual (ISM) のニーズに対応するための適切な責任モデルを特定できます。
IRAP の独立審査機関により、AWS の従業員、プロセス、およびテクノロジーの制御が調査され、ISM のニーズに対応していることが確認されました。この評価とコンプライアンス証明書は、認証機関が AWS インフラストラクチャを認証する際の保証を得て、プラットフォームの適切な用途について認定機関に推薦を行う根拠となります。
IRAP 評価、およびオーストラリア政府の認証機関として活動している ASD による公式認証のうち最高レベルのものが、機関認定です。この認証により、AWS で ASD の ISM の該当する制御が実施されていることが保証され、AWS がオーストラリア政府のワークロード向けであると認定される直接の要因となります。
この認証により、個別の機関やその商業パートナーは、その組織のワークロード向けにクラウドプラットフォームの評価や認証を行うという大きな負担を負う必要がなくなり、その組織のシステムの認定プロセスに注意を集中できます。
AWS では、ASD の ISM の制御や各機関のガイドラインやポリシーに沿ってお客様のデータを保護するために幅広いセキュリティ機能を提供しています。また、お客様に提供するセキュリティツールのテストを継続的に繰り返しており、既存のセキュリティ機能の強化を定期的にリリースしています。さらに、さまざまなホワイトペーパー、オンラインドキュメント、およびセキュリティに関する動画をお客様に提供しています。世界中で公開している AWS のホワイトペーパーではデータの保護に関する推奨事項を記載しており、これはオーストラリア政府の AWS ワークロードにもまったく同様に適用できます。
AWS の IRAP セキュリティに関するドキュメントやガイダンスをどのように使用できますか? オーストラリア政府のお客様は、認証や認定の目標を促進するために、AWS に対する ASD の認証と IRAP の独立審査機関によるコンプライアンス証明書を活用できます。 オーストラリア政府のお客様をサポートするために、AWS を認証クラウドサービスプロバイダーとして使用しながら、セキュリティやコンプライアンスに対する理解を強化するために使用できる、セキュリティに関するガイダンスやドキュメントのパッケージを用意しています。 特に、IRAP による AWS インフラストラクチャの ISM に対する評価については、政府組織やそのパートナーのお客様に、必要に応じて NDA に署名していただいたうえで提供します。 - ISM に対する AWS のコンプライアンスに関する IRAP のレポート - AWS インフラストラクチャプラットフォームに関する ASD の認証証明書 - 管理実施概要 AWS インフラストラクチャにより実施されている制御の評価とテストに関するその他の入手可能なレポート (必要に応じて、NDA に署名していただいたうえで提供): - Service Organisation Controls 1 (SOC1) Type II レポート - Service Organisation Controls 2 (SOC2) Type II レポート - ISO27001 証明書および適用可能性ドキュメント - PCI Attestation of Compliance および PCI Responsibility Summary その他のレポートに関する詳細については、AWS コンプライアンスよくある質問をご覧ください。 オーストラリア政府のお客様、またはオーストラリア政府との業務を実施する請負業者に関係する AWS のセキュリティドキュメントの入手をリクエストするには、AWS の営業および事業開発にご連絡いただくか、awscompliance@amazon.com まで E メールをご送信ください。 |
IRAP 審査機関は、オーストラリア政府の ISM に対する ICT システムの評価を実行する資格がある唯一の公認機関で、コンプライアンスと非コンプライアンスの分野、および残留リスクと改善行動について説明し、認証について認証機関に推奨を行います。
ドキュメント管理 |
ドキュメント |
連邦政府機関パッケージ |
SLED パッケージ |
AWS パートナー |
DRM |
IRAP レポートステージ 2 |
X |
|
|
| DRM | ASD 認証レポート | X | ||
公開 |
X |
X |
X |
|
公開 |
X |
X |
X |
|
DRM |
管理実施概要 |
X |
X |
X |
それらのドキュメントはどのように配信されますか? · 公開ドキュメントは、E メールで配信されるか、このサイトで公開されています。 · NDA ドキュメントは、NDA に署名していただいたことが確認されたなら、パスワードで保護された Adobe PDF 形式のドキュメントして、E メールに添付して配信されます。閲覧には、Adobe Reader 9.0 以降が必要です。 · DRM ドキュメントは、Adobe LiveCycle マネージャーのデジタル著作権管理を使用して厳重に制御されており、ドキュメントを開くには Adobe Reader 9.0 以降が必要です。通常、コンテンツはコピーできないように保護されており、閲覧が必要なユーザーが決められた期間のみ表示できるようになっています。 これらのドキュメントを入手するには何が必要ですか? どのパッケージも入手するには、適切な NDA がその組織と AWS の間で締結されている必要があります。連邦政府機関または SLED の認定のためにセキュリティ評価を実施している請負業者がリクエストする場合は、政府のセキュリティ担当者が入手を承認する旨を記載した書面による許可も必要です。 オーストラリア政府のワークロードを AWS で実行できるという保証を得るために入手できる別のドキュメントはありますか? AWS リスクとコンプライアンスのホワイトペーパーをご覧ください。 コンプライアンスプログラムのページに掲載されている AWS が管理する認証とレポートや、AWS が世界中で実施している制御の広範な特性の例をご覧いただけます。また、AWS は、NIST800-53Rev4 の制御を適用した米国政府の FedRAMP プログラムの下で、Authority to Operate (ATO) を取得しています。これらの制御は広範に及ぶもので、内容は公開されており、AWS でワークロードを実行するための高いレベルの保証が必要なお客様が安心していただける根拠を提示しています。 AWS インフラストラクチャにより実施されている制御の評価とテストに関するその他の入手可能なレポート: - Service Organisation Controls 1 (SOC1) TypeII レポート - Service Organisation Controls 2 (SOC2) TypeII レポート o SOC2 可用性 o SOC2 セキュリティ - Service Organisation Controls 3 (SOC3) - ISO27001 証明書および適用可能性ドキュメント - PCI Attestation of Compliance および PCI Responsibility Summary - AWS セキュリティ管理概要 AWS のコンプライアンスドキュメントの入手をリクエストするには、AWS の営業および事業開発にご連絡いただくか、awscompliance@amazon.com まで E メールをご送信ください。 |
