ISO 27001 について教えてください



AWS ISO 27001

ISO 27001 は、ISO 27002 のベストプラクティスガイダンスに従い、セキュリティ管理のベストプラクティスと包括的なセキュリティ制御を規定したセキュリティ管理標準です。この認証の基礎は強固なセキュリティプログラムの開発と実装であり、これには、AWS がどのようにしてセキュリティを全体的で包括的な方法で永続的に管理するかを定義する、情報セキュリティ管理システム (ISMS) の開発と実装が含まれます。このように広く認められている国際セキュリティ標準では、次のことが指定されています。

  • 情報セキュリティリスクを体系的に評価し、企業の脅威と脆弱性の影響を考慮する
  • 一連の総合的な情報セキュリティ制御や他の形式のリスク管理を設計および実装し、企業およびアーキテクチャーのセキュリティリスクに対処する
  • 包括的な管理プロセスを採用し、情報セキュリティ制御が情報セキュリティのニーズを継続的に満たすようにする

AWS ISO 27001 認証書はこちらからダウンロードできます

ISO 27001、27017、27018 を AWS で実装してこれと提携していることから、組織のすべてのレベルで情報セキュリティに取り組んでいることが分かります。AWS は、独立した第三者の監査を受けて、ISO 27001 標準に準拠していることが確認されています。このように国際的に認められた標準および実施基準に準拠しているということは、AWS セキュリティプログラムが総合的であり、業界の主なベストプラクティスに従っているということです。



AWS は ISO 27001 の標準とベストプラクティスを歓迎しています。この認証により、サービスのセキュリティ、機密性、可用性への取り組みが確認されます。これらの標準の鍵となるのは、AWS の強固なセキュリティ管理プログラムの開発、実装、継続的改善であり、これが AWS のセキュリティに対するアプローチの基礎を形成しています。

AWS の ISO 27001 認定には、上記の AWS サービスをサポートするハードウェアが収容されているデータセンターが含まれます。AWS データセンターは、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (カリフォルニア北部)、AWS GovCloud (米国)、カナダ (モントリオール)、EU (ロンドン)、EU (アイルランド)、EU (フランクフルト)、アジアパシフィック (シンガポール)、アジアパシフィック (ムンバイ)、アジアパシフィック (ソウル)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、南米 (サンパウロ)、および次の AWS エッジロケーションに配置されています。

  • メルボルン(オーストラリア)
  • シドニー (オーストラリア)
  • リオデジャネイロ(ブラジル)
  • サンパウロ (ブラジル)
  • モントリオール (カナダ)
  • トロント (カナダ)
  • 香港 (中国)
  • ロンドン (英国)
  • マルセイユ (フランス)
  • パリ (フランス)
  • フランクフルト (ドイツ)
  • チェンナイ (インド)
  • ムンバイ (インド)
  • ニューデリー (インド)
  • ダブリン (アイルランド)
  • ミラノ (イタリア)
  • 大阪 (日本)
  • 東京 (日本)
  • ソウル (韓国)
  • アムステルダム (オランダ)
  • マニラ (フィリピン)
  • ワルシャワ (ポーランド)
  • シンガポール
  • マドリード (スペイン)
  • ストックホルム (スウェーデン)
  • 台北 (台湾)
  • カリフォルニア州(米国)
  • フロリダ州(米国)
  • ジョージア州(米国)
  • イリノイ州 (米国)
  • インディアナ州(米国)
  • ミズーリ州(米国)
  • ネバダ (米国)
  • ニュージャージー州(米国)
  • ニューヨーク州(米国)
  • オレゴン州(米国)
  • テキサス州(米国)
  • バージニア州(米国)
  • ワシントン州(米国)

ISO 27001 認証によって、すべてのレベルで情報セキュリティへの当社の取り組みが実証されます。第三者の独立監査人により検証された、この国際的に認知されている標準に準拠することで、当社のセキュリティ管理プログラムが包括的であり、ベストプラクティスに従っていることが裏付けられます。この認証は、お客様が当社のセキュリティ実施方法の幅広さと強度を評価する際に、より明確で確かな基準になります。

お客様のサービスに影響はありません。当社は引き続き最高レベルのセキュリティを提供するべく努力して参ります。この認証は、お客様のリファレンス用のセキュリティの資格情報です。

EY CertifyPoint です。EY CertifyPoint は、国際認定機関フォーラム (IAF) の会員である Dutch Accreditation Council から公認された ISO 認証代理人です。EY CertifyPoint から発行された証明書は、IAF のメンバーであるすべての国で有効な証明書として認知されます。

ISO 27001 認証は、指定された範囲のサービスとデータセンターでのセキュリティ管理プロセスを対象にしています。お客様が AWS クラウドで IT の一部またはすべてを運営しながら ISO 27001 認証を受ける場合、協会から自動的に認証されることはありませんが、認証を受けやすくなる可能性があります。

既に ISO 27001 認証の対象範囲内となっている AWS の対象サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。このサービスの使用方法やその他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。

ISO 27001 およびその他多くの経済的、環境的、社会的な標準については、ISO の Web サイト、http://www.iso.org/iso/home.html を参照してください。ISO は、開発につながるプロセスに資金を提供するため、これらの標準を著作権で保護することを決定しています。

ISO 27001

 

お問い合わせ

次に、AWS の ISO 27001:2013 準拠についてのよくある質問の一覧を示します。

ISO 27001:2013 は、ISO 27002 のベストプラクティスガイダンスに従い、セキュリティ管理のベストプラクティスと包括的なセキュリティ制御を規定したセキュリティ管理標準規格です。これは幅広く認知されている国際的なセキュリティ標準であり、当社のお客様も大きな関心を寄せています。当社がこの標準の認証を受けるには、次の要件があります。

  • 情報セキュリティリスクを体系的に評価し、企業に対する脅威と脆弱性の影響を考慮する
  • 一連の総合的な情報セキュリティ統制や他の形式のリスク管理を設計および実装し、企業およびアーキテクチャーのセキュリティリスクに対処する
  • 包括的な管理プロセスを採用し、継続的に情報セキュリティ制御が情報セキュリティの要求を満たすようにする

この標準規格の継続的な認定のために重要な点は、厳格なセキュリティプログラムの効果的な管理です。この標準規格で必要とされる情報セキュリティ管理システム(ISMS)では、どのように全体的で包括的な方法でセキュリティを継続的に管理するかを定義します。ISO 27001:2013 認証は、特に AWS ISMS に重点が置かれており、当社の社内プロセスが ISO 標準にどのように準拠しているかを評価するものです。認証とは、第三者の公認独立監査人が当社のプロセスと統制を評価し、それらが包括的な ISO 27001:2013 認証標準規格に準拠して運用されているかを確認するということです。

AWS は ISO 27001:2013 の標準規格とベストプラクティスを歓迎しています。ISO 27001:2013 によって、当社がお客様に提供しているサービスのセキュリティに対する長年の取り組みが確認されるためです。認証のプロセスを経ることで、当社が ISO 標準規格の各要素に対処していること、および当社の管理実施が世界的に認知されているベストプラクティスに従っていることが確認されることになります。

ISO 27001:2013 認証によって、すべてのレベルで情報セキュリティへの当社の取り組みが実証されます。第三者の独立監査人により検証された、この国際的に認知されている標準規格に準拠することで、当社のセキュリティ管理プログラムが包括的であり、主要なベストプラクティスに従っていることが裏付けられます。この認証は、お客様が当社のセキュリティ実施方法の幅広さと強度を評価する際に、より高い透明性と確実性をもたらすものです。

ISO 27001:2013 認証は、指定された範囲のサービスとデータセンターでのセキュリティ管理プロセスを対象にしています。お客様が AWS クラウド上で IT の一部またはすべてを運営し ISO 27001:2013 認証を受ける場合、お客様が協会から自動的に認証されることにはなりませんが、認証を受けやすくなる可能性があります。