ITAR
概要
AWS GovCloud (米国) リージョンは、米国の国際武器取引規則 (ITAR) コンプライアンスに対応しています。包括的な ITAR コンプライアンスプログラム管理の一環として、ITAR 輸出規制の対象となる企業は、保護されたデータへのアクセスを米国人に制限し、およびそのデータの物理的なロケーションを米国の土地に制限することによって、意図しない輸出を制御する必要があります。AWS GovCloud (米国) は、物理的に米国に位置し、そこでは AWS 人事によるアクセスを米国人に制限しているという環境を提供しているため、それによって適格企業は、ITAR の下で、保護された記事およびデータを送信、処理、保存することができます。AWS GovCloud (米国) 環境は、カスタマーの輸出コンプライアンスプログラムをサポートする適切な統制がなされているかどうかを検証するために、独立した第三者による監査を受けています。
-
ITAR とは何ですか?
国際武器取引規則 (ITAR) は、国防関連の記事や発言の輸出を制御して、米国人以外の人が ITAR 環境に保存されている記事を物理的または論理的に閲覧できないようにするための規則です。
ITAR 米国軍需物資リスト (USML) の対象となる資料には、特別な承認や例外を除き米国人のみに公表できる機器、コンポーネント、資料、ソフトウェア、技術情報が含まれます。米国人とは、米国のグリーンカードの保持者または米国市民のことです。
-
ITAR の要件はクラウドにどのように適用されますか?
クラウドでの ITAR コンプライアンスは、技術データと見なされる情報が外国の人や国家に意図せずに拡散されないよう保護することを目的としています。米国軍需品リスト (USML) で IT ワークロードやデータの種類が輸出と見なされて初めて、そのデータが ITAR の対象となります。
-
AWS では、ITAR の輸出規制の対象になっているユーザーをどのようにサポートしますか?
AWS のお客様は、米国領土で米国人のみにより管理されている AWS GovCloud (米国) に、データを保存できます。AWS GovCloud (米国) は Amazon の隔離されたクラウドリージョンで、アカウントを持つことができるのは米国の組織に勤務する米国人のみです。
お客様がこのネットワークにアップロードするデータの内容を AWS が閲覧または確認することはできないため、データが ITAR 規制の対象と見なされるかどうかにかかわらず、GovCloud リージョン内のお客様のデータはすべて ITAR データとして扱われます。
-
ユーザーは AWS GovCloud (米国) が ITAR の要件を満たしていることをどのように確認できますか?
公式の ITAR 認定はありません。AWS GovCloud (米国) は、Federal Risk Authorization Management Program (FedRAMP) 認定を受けた、独立した第三者評価機関 (3PAO) により継続的に監査を受けており、FedRAMP High Joint Authorization Board (JAB) の Provisional Authority-to-Operate (P-ATO) を付与されています。米国の国防総省、国土安全保障省、および連邦政府調達局の最高情報責任者 (CIO) が JAB の代表を務めています。
-
ユーザーが ITAR 規制の対象になっているデータを AWS で転送、処理、および保存する場合、AWS の責任共有モデルはどのように適用されますか?
AWS は、クラウドインフラストラクチャおよび提供されるコアサービスの論理的および物理的なコンプライアンスに責任を負います。お客様は、自社のオンプレミスの IT インフラストラクチャ、アプリケーション、およびシステムに責任を負います。上記のように、AWS GovCloud FedRAMP High JAB P-ATO によって AWS GovCloud (米国) 内における管理体制は証明されており、お客様は AWS で ITAR に準拠したシステムを構築できます。これにより、お客様は、AWS GovCloud (米国) でデータを処理および保存する際に、セキュリティコンプライアンスの義務を管理しやすくなります。以下に例を示します。
機密データの保護: Amazon S3 のサーバー側の暗号化により、非機密扱いの機密データを保護する。AWS CloudHSM、または AWS Key Management Service (KMS) のワンクリック機能を使用して、セキュリティキーを保存および管理する。
クラウドの可視性の向上: 米国人が管理および運用する AWS の API ロギングサービスである Amazon CloudTrail で、機密データへのアクセスや使用を監査する。
認証管理の強化: ID フェデレーション、簡単なキー更新、その他の利用できる強力なアクセスコントロールテストツールを使って、ユーザー、時間、場所によって機密データへのアクセスを限定し、ユーザーが使用できる API 呼び出しを制限する。