ISO 27001 は、ISO 27002 のベストプラクティスガイダンスに従い、セキュリティ管理のベストプラクティスと包括的なセキュリティ制御を規定したセキュリティ管理標準です。この認証の基礎は強固なセキュリティプログラムの開発と実装であり、これには、AWS がどのようにしてセキュリティを全体的で包括的な方法で永続的に管理するかを定義する、情報セキュリティ管理システム (ISMS) の開発と実装が含まれます。このように広く認められている国際セキュリティ標準では、次のことが指定されています。
- 情報セキュリティリスクを体系的に評価し、企業の脅威と脆弱性の影響を考慮する
- 一連の総合的な情報セキュリティ制御や他の形式のリスク管理を設計および実装し、企業およびアーキテクチャーのセキュリティリスクに対処する
- 包括的な管理プロセスを採用し、情報セキュリティ制御が情報セキュリティのニーズを継続的に満たすようにする
AWS ISO 27001 認証書はこちらからダウンロードできます。
ISO 27001、27017、27018 を AWS で実装してこれと提携していることから、組織のすべてのレベルで情報セキュリティに取り組んでいることが分かります。AWS は、独立した第三者の監査を受けて、ISO 27001 標準に準拠していることが確認されています。このように国際的に認められた標準および実施基準に準拠しているということは、AWS セキュリティプログラムが総合的であり、業界の主なベストプラクティスに従っているということです。
次に、AWS の ISO 27001:2013 準拠についてのよくある質問の一覧を示します。
ISO 27001:2013 は、ISO 27002 のベストプラクティスガイダンスに従い、セキュリティ管理のベストプラクティスと包括的なセキュリティ制御を規定したセキュリティ管理標準規格です。これは幅広く認知されている国際的なセキュリティ標準であり、当社のお客様も大きな関心を寄せています。当社がこの標準の認証を受けるには、次の要件があります。
- 情報セキュリティリスクを体系的に評価し、企業に対する脅威と脆弱性の影響を考慮する
- 一連の総合的な情報セキュリティ統制や他の形式のリスク管理を設計および実装し、企業およびアーキテクチャーのセキュリティリスクに対処する
- 包括的な管理プロセスを採用し、継続的に情報セキュリティ制御が情報セキュリティの要求を満たすようにする
この標準規格の継続的な認定のために重要な点は、厳格なセキュリティプログラムの効果的な管理です。この標準規格で必要とされる情報セキュリティ管理システム(ISMS)では、どのように全体的で包括的な方法でセキュリティを継続的に管理するかを定義します。ISO 27001:2013 認証は、特に AWS ISMS に重点が置かれており、当社の社内プロセスが ISO 標準にどのように準拠しているかを評価するものです。認証とは、第三者の公認独立監査人が当社のプロセスと統制を評価し、それらが包括的な ISO 27001:2013 認証標準規格に準拠して運用されているかを確認するということです。
AWS は ISO 27001:2013 の標準規格とベストプラクティスを歓迎しています。ISO 27001:2013 によって、当社がお客様に提供しているサービスのセキュリティに対する長年の取り組みが確認されるためです。認証のプロセスを経ることで、当社が ISO 標準規格の各要素に対処していること、および当社の管理実施が世界的に認知されているベストプラクティスに従っていることが確認されることになります。
ISO 27001:2013 認証によって、すべてのレベルで情報セキュリティへの当社の取り組みが実証されます。第三者の独立監査人により検証された、この国際的に認知されている標準規格に準拠することで、当社のセキュリティ管理プログラムが包括的であり、主要なベストプラクティスに従っていることが裏付けられます。この認証は、お客様が当社のセキュリティ実施方法の幅広さと強度を評価する際に、より高い透明性と確実性をもたらすものです。
ISO 27001:2013 認証は、指定された範囲のサービスとデータセンターでのセキュリティ管理プロセスを対象にしています。お客様が AWS クラウド上で IT の一部またはすべてを運営し ISO 27001:2013 認証を受ける場合、お客様が協会から自動的に認証されることにはなりませんが、認証を受けやすくなる可能性があります。
