米国国立標準技術研究所 (NIST) 800-53 のセキュリティ統制は、一般に、連邦政府情報システムに適用できます。これらは一般に、セキュリティカテゴリ、システムの影響レベル (低、中、または高)、リスク判断に基づいて、機密性、完全性、情報と情報システムの可用性の十分な保護を確実にするために、正式な評価と承認のプロセスを経る必要があるシステムです。
米国国立標準技術研究所 (NIST) のサイバーセキュリティフレームワーク (CSF) は、セクターや規模に関わらず、どの企業でも使用できる推奨されるベースラインとして世界中の政府および業界でサポートされています。Gartner によると、CSF は米国企業の約 30% で使用されており、2020 年までに 50% に達する見込みです。2016 会計年度以来、連邦政府機関の Federal Information Security Modernization Act (FISMA) 指標が CSF の周囲で編成され、現在、機関はサイバーセキュリティに関する大統領令の下で CSF を実装することが求められています。
AWS の NIST 準拠クラウドインフラストラクチャサービスは、NIST 800-53 Rev. 4 統制および FedRAMP 要件に対して実行される第三者のテストによって検証されています。AWS は、AWS GovCloud (米国) リージョンおよび AWS 米国東部/西部リージョンの両方について、複数の許可機関から FedRAMP Authorizations to Operate (ATO) を受けています。詳細については、以下のリンクを参照してください。
• AWS 米国東部/西部リージョンの許可機関の詳細な一覧については、こちらに移動します。
• AWS GovCloud の許可機関の完全な一覧については、こちらに移動します。
• 高ペースランの AWS GovCloud JAB P-ATO については、こちらに移動します。
AWS FedRAMP プログラムの詳細については、FedRAMP ウェブページに移動します。
一部の統制は具体的に AWS から継承されますが、多くの統制はお客様と AWS の間で継承を共有します。NDA の下で、AWSは、NIST 800-53 Rev. 4 に基づいて AWS FedRAMP SSP テンプレートを提供します。このテンプレートでは、適用可能な NIST 800-5 Rev. 4 低/中/高の統制ベースラインが事前入力されます。統制の責任は次のようになります。
• 責任共有モデル: お客様はソフトウェアコンポーネントのセキュリティおよび設定を提供し、AWS はそのインフラストラクチャのセキュリティを提供します。
• お客様のみの責任: ゲストオペレーティングシステム、デプロイされたアプリケーション、限定されたネットワーキングリソース (ファイアウォールなど) はお客様の責任になります。より具体的に言えば、お客様はクラウド「内部」のセキュリティの設定および管理にのみ責任を持ちます。
• AWS のみの責任: ネットワーク、データストレージ、システムリソース、データセンター、物理的セキュリティ、信頼性、ハードウェアとソフトウェアのサポートを含む、クラウドインフラストラクチャの管理は、AWS の責任になります。AWS システムの上に構築されたアプリケーションは、AWS が提供する機能や設定可能なオプションを継承します。AWS は、クラウド「自体」のセキュリティの設定および管理にのみ責任を持ちます。
セキュリティ許可の目的で、(NIST 800-53 rev 4 低/中/高の統制ベースラインに基づく) FedRAMP 要件へのコンプライアンスは、AWS が AWS のみと共有統制を完全に実施することと、お客様がお客様のみと共有統制を実施することが条件となります。AWS がそれらの統制責任を果たしているかどうかは、FedRAMP から公認された 3PAO (第三者査定機関) が評価し、承認します。お客様に責任のある共有統制の一部と、お客様が AWS インフラストラクチャの上に実装しているアプリケーションに関連する統制は、NIST 800-37 と、お客様特有のセキュリティ許可ポリシーおよび手順に合意のうえで、お客様が個別に評価し、承認する必要があります。
AWS FedRAMP コンプライアンスシステムは許可を持っており、FedRAMP セキュリティ統制 (NIST SP 800-53) に特化して、安全な FedRAMP リポジトリにポストされたセキュリティパッケージに必要な FedRAMP テンプレートを使用し、承認を受けた独立する第三者評価組織 (3PAO) によって評価されて、FedRAMP の継続的なモニタリング要件を維持します。
AWS 責任共有モデルに従って、AWS はクラウドのセキュリティを管理し、お客様はクラウド内のセキュリティに責任を持ちます。責任共有モデルの実装をサポートするために、(AWS CloudFormation による) AWS クイックスタートでは、1 度のシングルクリックで AWS クラウドの重要なテクノロジーが自動的にデプロイされます。各クイックスタートでは、一般的なセキュリティ規格や PCI DSS や NIST 800-53 などのフレームワークに準拠する必要性に対応する AWS で、ワークロードをデプロイするために必要な AWS のコンピューティング、ネットワーク、ストレージ、その他のサービスを起動、設定、実行します。
クイックスタートにより、体系的に実施できる、より包括的なルールセットを使用して、セキュアなベースラインを効率化、自動化、実装できます。たとえば、「AWS クラウドでの NIST ベースの保証フレームワークの標準化アーキテクチャ」のクイックスタートには、AWS CloudFormation テンプレートがあります。それらのテンプレートは、AWS Service Catalog と統合して、NIST 800-53 (Revision 4) および NIST 800-171 のスコープとなる標準化されたベースラインアーキテクチャワークロードの構築を自動化できます。クイックスタートにはセキュリティ統制のリファレンスも含まれています。これは、セキュリティ統制アーキテクチャの決定、機能、およびベースラインの設定をマッピングします。これらは、組織の AWS クラウドのセキュリティとコンプライアンス目標に対して意味のある方法で、AWS におけるコンプライアンスの取り組みをサポートするために使用できます。
公共部門や民間企業の組織は、このホワイトペーパーを使用して NIST CSF に対して AWS 環境を評価し、実装および運用しているセキュリティ対策を改善できます (クラウド内のセキュリティとも呼ばれます)。NIST CSF に準拠するために、AWS クラウドサービスや関連するお客様の責任や AWS の責任に関する詳細情報を提供しています。さらに、ホワイトペーパーには AWS クラウドサービスの NIST CSF リスク管理実施策 (クラウド内のセキュリティとも呼ばれます) に対する適合性を証明する、サードパーティの監査人による書類も含まれています。これにより、組織は AWS 全体のデータを適切に保護できます。
連邦および州政府機関から規制されたエンティティ、大規模なエンタープライズに至るまで、組織はこのホワイトペーパーを AWS ソリューションを実装して NIST CSF でのリスク管理の成果を達成するためのガイドとして使用できます。
