SOC コンプライアンス

SOC

AWS の Service Organization Control (SOC) レポートとは、重要な準拠統制および目標を AWS がどのように達成したかを実証する、独立した第三者による審査報告書です。このレポートの目的は、オペレーションと準拠をサポートするよう確立された AWS 統制を、ユーザーおよびユーザーの監査人が容易に把握できるようにすることです。3 種類の AWS SOC レポートがあります。

AWS SOC 1 レポート – AWS Artifact でダウンロードする
AWS SOC 2: セキュリティ、可用性、機密性レポート – AWS Artifact でダウンロードする
AWS SOC 3: セキュリティ、可用性、機密性レポート

SOC クラウドコンプライアンスのお客様

Slack は、Twitter、Dropbox、Google Docs、Jira、GitHub、MailChimp、Trello、Stripe など幅広い通信サービスに組み込まれこれらをつなぐメッセージングプラットフォームを提供しています。サンフランシスコに拠点を置き、2014 年 2 月に名前の由来となったアプリを立ち上げたこの会社は、初めはシリコンバレーの起業家たちの小さなグループでした。その中には、Flickr の創設者である Stewart Butterfield も含まれていました。 »

Kaplan, Inc. は個人、研究機関、企業向けの高等教育、標準試験対策、専門家教育、英語トレーニング、大学受験対策、K-12 といった一連の製品で、世界中で毎年 120 万人もの学生をサポートしています。教育機会の拡大の必要性を以前から認識しており、テクノロジーと教育サイエンスで革新を続けています。 »

「AWS では、クラウドコンピューティングへの戦略的コミットメントを維持し、その Service Organization Controls 1 (SOC 1)、Type 2 レポート監査を公開し、セキュリティ対策を実証しています。このサービスは使いやすく、実装が容易であることも分かりました」 »

HIPAA、ISO27001、SOC 1/2/3、ISO9001、FedRamp、FISMA といった規格への準拠がアマゾンウェブサービスで実証されていることにより、DNAnexus では、臨床上のコンプライアンスを満たしたプロジェクトをその顧客が推進するためのプラットフォームを提供でき、規模や適用範囲が巨大なプロジェクトであっても、分析の品質と効率、セキュリティ、コラボレーションのしやすさに確証を持って進めることができます。 »

「Jobvite は AWS を使用することで SSAE SOC 1、2、および 3 レポーティング規格を遵守でき、PCI DSS Level 1 に準拠できたことで、ISO 27001 認証を獲得できました。その価値は非常に大きいものです。中堅企業や大企業の顧客はこれらの認証を SaaS プロバイダーに要求するため、これらの認証がなければ当社のサービスをこうした顧客に販売することはできませんでした」 »

Mambu には、AWS が SOC 1、SOC 2、SOC 3 レポートなどの一連のコンプライアンス認証、および ISO27001 セキュリティ管理標準に対応するという事実に安心していただきました。これらはすべて銀行にとって不可欠な認証です。 »

AWS SOC レポートではどのような情報が提供されますか?

	SOC 1	SOC 2: セキュリティ、可用性、機密性	SOC 3: セキュリティ、可用性、機密性
レポートの内容	AWS の統制環境に関する説明、および AWS が定義した統制と目標の外部監査に関する説明	AWS の統制環境に関する説明と AICPA の信頼サービスのセキュリティ、可用性、機密性の原則および基準を満たす AWS 統制の外部監査に関する説明	AWS が AICPA の信頼サービスのセキュリティ、可用性、機密性の原則および基準を満たしていることを実証する公開レポート
監査レポートの実行の基盤となる規格	AICPA: AT 801、Reporting on Controls at a Service Organization	AICPA: AT 101、Attest Engagements AICPA Technical Practice Aid: TSP セクション 100、Trust Services Principles, Criteria, and Illustrations	AICPA: AT 101、Attest Engagements
レポートの主目的	財務報告に係る内部統制に関連する可能性がある AWS の統制環境について、顧客に情報を提供すること財務報告に係る内部統制（ICOFR）の有効性に関する評価および意見について、顧客とその監査人に情報を提供すること	システムのセキュリティ、可用性、機密性に関連する AWS の統制環境について、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること	システムのセキュリティ、可用性、機密性に関連する AWS の統制環境について、AWS の内部情報を開示せずに、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること
レポートの主な確認者	顧客管理およびその監査人	ビジネスニーズのあるユーザー	こちらで公開されています
AWS レポートの対象期間	6 か月: 10 月 1 日～3 月 31 日、および 4 月 1 日～9 月 30 日	6 か月: 10 月 1 日～3 月 31 日、および 4 月 1 日～9 月 30 日	6 か月: 10 月 1 日～3 月 31 日、および 4 月 1 日～9 月 30 日

AT 801 とは?

Attestation Standard Section 801 (AT 801) は、ポリシー、手順、および統制への準拠についての独立した報告を行うためにサービス組織（AWS など）向けに設計されたスタンダードです。これは、サービス組織として AWS を評価する監査人にガイダンスを示します。AWS SOC 1 レポートは、当社の独立サービス監査人（Ernst & Young, LLP）によって、AT 801 に従って作成され、財務報告に係る顧客の内部統制に関連する可能性がある AWS の内部統制について、保証報告書および独立監査人の意見を提供します。AT 801 は、米国公認会計士協会（AICPA）の監査基準審議会（ASB）によって発行され、監査人向けの以前の 2 つの、サービス組織統制に関するガイダンススタンダード（SSAE 16 および SAS 70）よりも優先されます。

AWS SOC 2 セキュリティ、可用性、機密性レポートおよび SOC 3 セキュリティ、可用性、機密性レポートは、Attestation Standard Section 101 (AT 101) に従って作成されます。このスタンダードによって、監査人は、AICPA ガイド「セキュリティ、可用性、処理の整合性、機密性、またはプライバシーに関わる受託会社における統制に関するレポート」および信頼サービスの原則および基準に基づいて、財務諸表以外の主題に関する報告を行うことができます。

発行団体	スタンダード	ガイダンスの説明	レポート
米国公認会計士協会（AICPA）の監査基準審議会（ASB）詳細については、www.aicpa.org を参照	Attestation Standard Section 801 (AT 801)	Reporting on Controls at a Service Organization: このセクションは、サービスをユーザー組織に提供する組織の統制が、ユーザー組織の財務報告に係る内部統制に関連する可能性がある場合、そのような統制に関する報告を行うためにサービス監査人が引き受ける審査業務を扱っています。詳細については、AT 801 を参照	SOC 1
Attestation Standard Section 101 (AT 101)	Attest Engagements: このセクションでは、証明業務の枠組みを確立し、審査報告書およびレビュー報告書の例を含む一般的な証明基準についての概要を示します。詳細については、AT 101 を参照	SOC 2: セキュリティ、可用性、機密性 SOC 3: セキュリティ、可用性、機密性

発行団体

スタンダード

ガイダンスの説明

レポート

米国公認会計士協会（AICPA）の監査基準審議会（ASB）

詳細については、www.aicpa.org を参照

Attestation Standard Section 801 (AT 801)

Reporting on Controls at a Service Organization:

このセクションは、サービスをユーザー組織に提供する組織の統制が、ユーザー組織の財務報告に係る内部統制に関連する可能性がある場合、そのような統制に関する報告を行うためにサービス監査人が引き受ける審査業務を扱っています。

詳細については、AT 801 を参照

SOC 1

Attestation Standard Section 101 (AT 101)

Attest Engagements:

このセクションでは、証明業務の枠組みを確立し、審査報告書およびレビュー報告書の例を含む一般的な証明基準についての概要を示します。

詳細については、AT 101 を参照

SOC 2: セキュリティ、可用性、機密性

SOC 3: セキュリティ、可用性、機密性

SOC レポートの対象範囲となる AWS のサービスはどれですか?

既に SOC レポートの対象範囲内となっている AWS の対象サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。このサービスの使用方法やその他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。

AWS SOC レポートの対象となるリージョンはどれですか?

米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、AWS GovCloud (US)、カナダ (中部)、ヨーロッパ (アイルランド)、ヨーロッパ (フランクフルト)、ヨーロッパ (ロンドン)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、アジアパシフィック (ソウル)、アジアパシフィック (ムンバイ)、南米 (サンパウロ) リージョンおよび下記の AWS エッジロケーション:

メルボルン（オーストラリア）
シドニー (オーストラリア)
リオデジャネイロ（ブラジル）
サンパウロ (ブラジル)
モントリオール (カナダ)
トロント (カナダ)
香港 (中国)
ロンドン (英国)
マルセイユ (フランス)
パリ (フランス)
フランクフルト (ドイツ)
チェンナイ (インド)
ムンバイ (インド)
ニューデリー (インド)
ダブリン (アイルランド)
ミラノ (イタリア)
大阪 (日本)
東京 (日本)
ソウル (韓国)
アムステルダム (オランダ)
マニラ (フィリピン)

ワルシャワ (ポーランド)
シンガポール
マドリード (スペイン)
ストックホルム (スウェーデン)
台北 (台湾)
カリフォルニア州（米国）
フロリダ州（米国）
ジョージア州（米国）
イリノイ州 (米国)
インディアナ州 (米国)
ミネソタ州 (米国)
ミズーリ州（米国）
ニュージャージー州（米国）
ニューヨーク州（米国）
オハイオ州 (米国)
オレゴン州 (米国)
ペンシルバニア州 (米国)
テキサス州（米国）
バージニア州（米国）
ワシントン州（米国）

SOC レポートに関して、独立した第三者による AWS の監査は誰が行いますか?

Ernst & Young LLP が AWS の SOC 1、SOC 2、および SOC 3 の監査を行います。

AWS SOC レポートの発行頻度はどれくらいですか? また、新しいレポートはいつ公開されますか?

AWS では、毎年、6 か月の期間を対象とする 2 つの SOC 1、SOC 2、および SOC 3 レポートを発行します (1 番目のレポートは 10 月 1 日～3 月 31 日を対象とし、2 番目のレポートは 4 月 1 日～9 月 30 日を対象とします)。新しいレポートは、5 月中旬、および 11 月中旬に公開されます。

ISAE 3402 レポートはありますか?

AWS SOC 1 監査は、国際保証業務基準書第3402 号 (ISAE 3402) に沿って実施されます。ISAE 3402 レポートを必要とする顧客は、AWS SOC 1 Type II レポートを要求する必要があります。

AWS SOC レポートを受け取るには、秘密保持契約 (NDA) が必要ですか?

NDA は、AWS SOC 1 および 2 レポートを確認する場合にのみ要求されます。AWS SOC 3 レポートは、こちらで公開されています。AWS SOC 3 レポートは、AWS SOC 2 レポートの要約です。レポートでは、AWS が SOC 2 に含まれる AICPA の信用提供の原則を満たしていることを概説します。また、管理の操作に関する外部監査人の意見が含まれています。

AWS SOC 1 または SOC 2 レポートを要求するにはどうすればよいですか?

AWS SOC 1 および SOC 2 レポートは、お客様が AWS Artifact (AWS のコンプライアンスレポートへのオンデマンドアクセス用のセルフサービスポータル) を使用して入手できます。今すぐ AWS Artifact の使用を開始する。

AWS SOC 3 レポートはどこから入手できますか?

AWS SOC 3 は公開されており、ここから取得できます。

SOC コンプライアンスのリソース

AWS SOC コンプライアンスについての詳細をご希望ですか？

お問い合わせ

	SOC 1	SOC 2: セキュリティ	SOC 3: セキュリティ
レポートの内容	AWS の統制環境に関する説明、および AWS が定義した統制と目標の外部監査に関する説明	AWS の統制環境に関する説明、および AICPA の信頼サービスのセキュリティ原則と基準を満たす AWS 統制の外部監査に関する説明	AWS が AICPA の信頼サービスのセキュリティ原則と基準を満たしていることを実証する公開レポート
監査レポートの実行の基となるスタンダード	AICPA: AT 801（旧称 SSAE 16）、Reporting on Controls at a Service Organization	AICPA: AT 101、Attest Engagements AICPA Technical Practice Aid: TSP セクション 100、Trust Services Principles, Criteria, and Illustrations	AICPA: AT 101、Attest Engagements
レポートの主目的	財務報告に係る内部統制に関連する可能性がある AWS の統制環境について、顧客に情報を提供すること財務報告に係る内部統制（ICOFR）の有効性に関する評価および意見について、顧客とその監査人に情報を提供すること	システムのセキュリティに関連する AWS の統制環境について、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること	システムのセキュリティに関連する AWS の統制環境について、AWS の内部情報を開示せずに、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること
レポートの主な確認者	顧客管理およびその監査人	ビジネスニーズのあるユーザー	ここで公開されています
AWS レポートの対象期間	6 か月: 10 月 1 日～3 月 31 日、および 4 月 1 日～9 月 30 日	6 か月: 10 月 1 日～3 月 31 日、および 4 月 1 日～9 月 30 日	12 か月: 4 月 1 日～3 月 31 日