MPAA とスタジオセキュリティについて教えてください
MPAA

Motion Picture Association of America (MPAA) では、保護されたメディアやコンテンツを安全に保存、処理、および配信するための一連のベストプラクティス (http://www.mpaa.org/content-security-program/) が確立されています。メディア企業ではこのベストプラクティスを、コンテンツとインフラストラクチャのリスクとセキュリティを評価する手段として使用しています。

MPAA が "認証" を提供することはありませんが、メディア業界のお客様は、MPAA ベストプラクティスへの AWS での適合を説明した AWS MPAA ガイダンスを使用して、AWS における MPAA タイプのコンテンツのリスク評価を補足できます。

AWS では、サードパーティによる AWS プラットフォームおよび AWS のスタジオセキュリティテンプレートの認証も提供しています。AWS Artifact を使って、このドキュメントへのアクセス権をリクエストしてください


AWS では、仮想プライベートクラウド (VPC) により、データセンターをクラウドに安全に拡張する柔軟な方法が提供されました。当社では、既存のハードウェアやポリシーと手順を活用して、管理リソースをほとんど必要としない、安全で、シームレスかつスケーラブルなコンピューティング環境を構築できました。

Theresa Miller 氏、 LIONSGATE、情報テクノロジー担当取締役副社長

ベストプラクティス
情報セキュリティプログラムとリスク評価結果の定期的な確認を義務付けることにより、経営陣やオーナーが情報セキュリティ機能を確実に監督するようにします。
 
AWS の実装      
Amazon の統制環境は、当社の最上層部で開始されます。役員とシニアリーダーは、当社のカラーと中心的な価値を規定する際、重要な役割を担っています。AWS は、System & Organization Control (SOC) フレームワークに基づいて、情報セキュリティフレームワークとポリシーを規定しました。また、ISO 27002 統制、PCI DSS v3.2、およびアメリカ国立標準技術研究所 (National Institute of Standards and Technology/NIST) 出版物 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems) に基づいて、ISO 27001 に認定可能なフレームワークを効果的に統合しました。AWS の従業員は、AWS セキュリティトレーニングに含まれる、役職に応じたトレーニングを定期的に受けます。確立されたポリシーを従業員が理解して、実行できるよう、コンプライアンス監査が実施されます。      
       
ベストプラクティス
     
施設に関連したコンテンツの盗難や漏えいのリスクを特定し、優先順位を付けるために、コンテンツのワークフローと機密性の高いアセットに焦点を置いた正規のセキュリティリスク評価プロセスを作成します。      
       
AWS の実装      
AWS では文書化された正規のリスク評価ポリシーを実施しており、このポリシーは少なくとも毎年 1 回更新および確認されます。このポリシーでは、目的、範囲、役職、責任、および管理の取り組みについて扱っています。

このポリシーに合わせて、すべての AWS リージョンと業務を対象とするリスク評価が AWS コンプライアンスチームにより毎年実施され、AWS の上級管理職がそれを確認します。このリスク評価は、独立監査人によって実施される認証、認定、およびレポート作成とは別のものです。このリスク評価の目的は、AWS の脅威と脆弱性を特定し、その脅威と脆弱性にリスク評価を割り当て、その評価を正式に文書化し、問題の対応のためにリスク脅威計画を作成することです。リスク評価の結果は、大きな変更により毎年のリスク評価より前に新しいリスク評価を行う場合も含め、定期的に AWS の上級管理職により確認されます。

お客様は、ご自身のデータ (コンテンツ) の所有権を保持しており、そのデータのワークフローに関連するリスクの評価と管理について、お客様のコンプライアンスのニーズを満たす責任を負います。

AWS のリスク管理フレームワークは、SOC、PCI DSS、ISO 27001、および FedRAMP のコンプライアンスの監査時に、社外の独立監査人によって確認されます。
     
       
ベストプラクティス
セキュリティの窓口となる連絡先を決め、コンテンツとアセットの保護に関する役職と責任を正式に規定します。
 
AWS の実装      
AWS では、AWS セキュリティチームによって管理され、AWS 最高情報セキュリティ責任者 (CISO) が率いる、情報セキュリティ組織が設立されています。また、AWS では、AWS を利用するすべての情報システムのユーザーに、セキュリティ意識トレーニングを維持および提供しています。このセキュリティ意識トレーニングは毎年 1 回実施され、セキュリティ意識トレーニングの目的、すべての AWS ポリシーの位置付け、AWS のインシデント対応手順 (社内外のセキュリティインシデントの報告方法に関する指示を含む) といったトピックを扱います。

AWS 内のシステムには、運用とセキュリティの主要なメトリクスをモニタリングする膨大な装置が備わっています。主要なメトリクスが早期警告しきい値を超えた場合、運用管理担当者に自動的に通知されるよう、アラームが設定されています。しきい値を超えた場合、AWS インシデント対応プロセスが開始されます。Amazon のインシデント対応チームでは、業務に影響するイベントが発生した場合に解決を促進する、業界標準の診断手順を採用しています。スタッフは、24 時間年中無休体制でインシデントを検出し、解決への影響を管理します。

AWS の役職と責任は、SOC、PCI DSS、ISO 27001、および FedRAMP のコンプライアンスの監査時に、社外の独立監査人によって確認されます。
     
       
ベストプラクティス      
資産とコンテンツのセキュリティに関するポリシーと手順を規定します。ポリシーは少なくとも次のトピックをカバーしていなければなりません。
• 人事ポリシー
• 容認できる使用(例: ソーシャルネットワーク、インターネット、電話)
• 資産の分類
• 資産取り扱いポリシー
• デジタル記録デバイス(例: スマートフォン、デジタルカメラ、カムコーダー)
• 例外ポリシー (例: ポリシーからの逸脱を文書化するプロセス)
• パスワードコントロール(例: パスワードの最低文字数、スクリーンセーバー)
• 施設からの顧客資産借り出し禁止
• システム変化の管理
• 通報ポリシー
• 制裁ポリシー (懲戒ポリシーなど)
     
       
AWS の実装      
AWS は、System & Organization Control (SOC) フレームワークに基づいて、情報セキュリティフレームワークとポリシーを規定しました。また、ISO 27002 統制、PCI DSS v3.2、およびアメリカ国立標準技術研究所 (National Institute of Standards and Technology/NIST) 出版物 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems) に基づいて、ISO 27001 に認定可能なフレームワークを効果的に統合しました。

また、AWS では、AWS を利用するすべての情報システムのユーザーに、セキュリティ意識トレーニングを維持および提供しています。このセキュリティ意識トレーニングは毎年 1 回実施され、セキュリティ意識トレーニングの目的、すべての AWS ポリシーの位置付け、AWS のインシデント対応手順 (社内外のセキュリティインシデントの報告方法に関する指示を含む) といったトピックを扱います。

AWS のポリシー、手順、および関連するトレーニングプログラムは、SOC、PCI DSS、ISO 27001、および FedRAMP sm のコンプライアンスの監査時に、社外の独立監査人によって確認されます。
     
ベストプラクティス      
セキュリティインシデントが検出および報告された際に取る行動を説明する、正規のインシデント対応計画を確立します。      
AWS の実装

AWS では、インシデント対応に関する文書化された正規のポリシーとプログラムを実施してきました。インシデント対応ポリシーでは、目的、範囲、役職、責任、および管理の取り組みについて扱っています。

AWS では、インシデントを管理するために 3 段階のアプローチを使用しています。
1. 対応開始/通知フェーズ: イベントの検出により、AWS のインシデントが開始されます。イベントの発生元はいくつかあります。
a. メトリクスとアラーム – AWS では例外的な状況の認識機能を維持しています。リアルタイムのメトリクスとサービスダッシュボードでは 24 時間年中無休でモニタリングとアラーム生成を行っており、ほとんどの問題は即座に検出されます。大部分のインシデントは、この方法で検出されます。AWS では、早期指標アラームを使用して、最終的にお客様に影響を与える可能性のある問題を事前に特定します。
b. AWS の従業員によって入力される問題チケット。
c. 24 時間年中無休の技術サポートホットラインへの電話。

イベントがインシデント基準を満たす場合、関係するオンコールサポートエンジニアが AWS イベント管理ツールを使用して対応を開始し、関係するプログラムの担当者を呼び出します。担当者はインシデントの分析を実行し、別の担当者の対応が必要かどうかを判断して、おおまかな原因を特定します。

2. 復旧フェーズ: 関係する担当者が不具合の修正を実行して、インシデントに対応します。トラブルシューティング、不具合の修正、影響を受けたコンポーネントへの対応が実行されたなら、呼び出しを行ったリーダーはフォローアップの文書化やアクションのために次のステップを割り当て、呼び出し対応を終了します。

3. 再構成フェーズ: 関係する修正活動が完了したら、呼び出しを行ったリーダーは復旧フェーズの完了を宣言します。インシデントの事後検討と原因の詳細な分析が、関係するチームに割り当てられます。関係する上級管理職が事後検討の結果を確認します。設計の変更などの関係するアクションがエラー修正 (COE) ドキュメントに記録され、その実行が追跡されます。

AWS では、これらの社内通信メカニズムに加えて、顧客基盤とお客様のコミュニティをサポートするために、社外通信のさまざまな方法も実施してきました。お客様へのサービスに影響を与える運用上の問題についてカスタマーサポートチームが通知を受けることができるようにするためのメカニズムが配備されています。"サービス状態ダッシュボード" がカスタマーサポートチームによって運用および管理されており、大きな影響を与える可能性のある問題についてお客様に警告します。

AWS のインシデント管理プログラムは、SOC、PCI DSS、ISO 27001、および FedRAMP のコンプライアンスの監査時に、社外の独立監査人によって確認されます。

AWS のお客様のゲストオペレーティングシステム、ソフトウェア、アプリケーション、およびデータの所有権と制御はお客様が保持しているため、コンテンツ (データ) のワークフローの文書化はお客様の責任となります。

ベストプラクティス

AWS の従業員やサードパーティの従業員全員の経歴を確認します。

AWS の実装      
AWS は従業員に対し、その従業員の役職や AWS 施設へのアクセスレベルに応じて、該当する法律の許す範囲で、雇用前審査の一環として犯罪歴を確認します。

AWS の経歴確認プログラムは、SOC、PCI DSS、ISO 27001、および FedRAMP sm のコンプライアンスの監査時に、社外の独立監査人によって確認されます。
     
       
ベストプラクティス      
AWS の従業員やサードパーティの従業員全員に対し、雇用時とその後年 1 回、守秘契約書 (機密保持契約書など) への署名を義務付けます。これには、コンテンツの取り扱いと保護に関する要件も盛り込まれます。      
       
AWS の実装      
Amazon Legal Counsel が Amazon の機密保持契約書 (NDA) を管理しており、AWS の業務ニーズを反映するために定期的に改訂します。

AWS による機密保持契約書 (NDA) の使用は、ISO 27001 および FedRAMP sm のコンプライアンスの監査時に、社外の独立監査人によって確認されます。
     
       
ベストプラクティス      
制限区域への電子的なアクセスを記録し、疑わしいイベントがないか確認します。      
       
AWS の実装

物理アクセスは、建物の周辺および入口において、専門の保安要員により、監視カメラや侵入検知システムなどの電子的手段を使って管理されています。
AWS データセンターのすべての入口 (正面玄関、搬入口、屋上のドアや昇降口を含む) は、侵入検知デバイスで保護されており、ドアが無理に開けられたり開き放しになっている場合は、アラームが鳴って、AWS の物理セキュリティ集中モニタリングでもアラームが発生します。

AWS データセンターでは、電子的メカニズムに加えて、トレーニングを受けた保安要員を建物の内外に 24 時間年中無休で配備しています。アラームが発生した場合は、必ず保安要員が調査し、すべてのインシデントの原因が文書化されます。すべてのアラームは、SLA で規定された時間内にアラームへの応答がなかった場合、自動的にエスカレーションされるよう設定されています。

サーバー設置場所に物理的に接近できる通路は、AWS データセンター物理セキュリティポリシーの規定に沿って、閉回路テレビ (CCTV) カメラで録画されています。法的義務または契約上の義務により 30 日間に制限される場合を除き、画像は 90 日間保存されます。

AWS の物理セキュリティメカニズムは、SOC、PCI DSS、ISO 27001、および FedRAMP のコンプライアンスの監査時に、社外の独立監査人によって確認されます。

ベストプラクティス      

物理アセット (顧客のアセットや新規作成したアセット) の詳細な追跡機能を持つ、コンテンツアセット管理システムを実装します。

     
       
AWS の実装      
AWS のお客様は、コンテンツのアセット管理に責任を負い、それを実装および運用します。お客様の物理アセットに在庫追跡システムを導入するのは、お客様の責任となります。

AWS データセンターの環境については、サーバー、ラック、ネットワークデバイス、ハードドライブ、システムハードウェアコンポーネント、および建築資材といった新しい情報システムコンポーネントがデータセンターに出荷される場合、必ずデータセンターマネージャーが事前に承認する必要があり、納品時にはデータセンターマネージャーに通知する必要があります。物品は各 AWS データセンターの搬入口に配送されます。AWS の正社員は、破損や梱包が開封された痕跡がないことを検査し、署名します。物品は配達時に、AWS のアセット管理システムとデバイス在庫追跡システムによりスキャンおよび記録されます。

受領された物品は、データセンターのフロアに設置されるまで、データセンター内の機器保管室に置かれます。機器保管室に入るには、ID カードの読み取りと PIN の入力が必要です。物品がデータセンターから搬出される場合、搬出の承認を受ける前に、その物品のスキャン、使用履歴の追跡、データの消去が行われます。        

AWS のアセット管理のプロセスと手順は、PCI DSS、ISO 27001、および FedRAMP sm のコンプライアンスの監査時に、社外の独立監査人によって確認されます。
     
       
ベストプラクティス      
デジタルコンテンツの処理や保存を行うシステム (デスクトップ/サーバー) でのインターネットアクセスを禁止します。      
       
AWS の実装      
ルールセット、アクセス制御リスト (ACL)、および各種設定を採用する境界保護デバイスにより、ネットワーク構造間の情報のフローを制御します。これらのデバイスはすべてを拒否するモードに設定されており、接続を許可するには承認されたファイアウォールセットが必要です。AWS ネットワークファイアウォールの管理に関する詳細については、DS-2.0 を参照してください。

AWS アセットに元から備わっている E メール機能はなく、ポート 25 は使用されません。お客様 (スタジオや処理施設など) が何らかのシステムで E メール機能を使用することはできますが、この場合、E メールの出入口でスパムやマルウェアの適切なレベルの保護を採用し、新しいリリースが利用可能になったならスパムやマルウェアの定義を更新することはお客様の責任となります。

Amazon のアセット (ノート PC など) には、E メールのフィルタリングとマルウェアの検出を含むウイルス対策ソフトウェアが設定されています。

AWS のネットワークファイアウォール管理や Amazon のウイルス対策プログラムは、SOC、PCI DSS、ISO 27001、および FedRAMPsm における AWS の継続的なコンプライアンス監査の一環として、サードパーティの独立監査人によって確認されます。
     
       

MPAA を除くほとんどのコンテンツスタジオ (Disney や Marvel など) は、独自のセキュリティ要件を定めており、サービスプロバイダーと付加価値サービスに対して、サードパーティの監査人によってクラウドベースまたはオンプレミス環境の監査が行われることを要求しています。そのよい例は、発売前タイトルで使用される VFX/アニメーションコンテンツの、クラウドベースのバーストレンダリングです。

AWS では、AWS プラットフォームが VFX/アニメーションのレンダリング環境として承認されるようサードパーティの監査人と協力してきました。サードパーティの監査人は主要なスタジオ要求に基づく AWS セキュリティ統制を含む、セキュリティベストプラクティスのテンプレートドキュメントも作成しました。このドキュメントは VFX/アニメーションのレンダリング環境として承認されたスタジオを AWS 上に作成する際に活用できます。

AWS Artifact を使って、スタジオセキュリティ要件のための AWS セキュリティ統制ドキュメントへのアクセス権をリクエストしてください。

 

お問い合わせ