クラウドにおける SOC について教えてください
AWS SOC コンプライアンス

AWS System & Organization Control (SOC) レポートは、重要なコンプライアンス管理および目標を AWS がどのように達成したかを実証する、独立したサードパーティーによる審査報告書です。このレポートの目的は、オペレーションと準拠をサポートするよう確立された AWS 統制を、ユーザーおよびユーザーの監査人が容易に把握できるようにすることです。3 種類の AWS SOC レポートがあります。



  SOC 1 SOC 2: セキュリティ、可用性、機密性
SOC 3: セキュリティ、可用性、機密性
レポートの内容 AWS の統制環境に関する説明、および AWS が定義した統制と目標の外部監査に関する説明 AWS の統制環境に関する説明と AICPA の信頼サービスのセキュリティ、可用性、機密性の原則および基準を満たす AWS 統制の外部監査に関する説明 AWS が AICPA の信頼サービスのセキュリティ、可用性、機密性の原則および基準を満たしていることを実証する公開レポート
監査レポートの実行の基盤となる規格 SSAE No. 18、Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), which includes AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting。AICPA ガイド、Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®)

SSAE No. 18、Attestation Standards: Clarification and Recodification, which includes AT-C section 105, Concepts Common to All Attestation Engagements, and AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy(SOC 2®) TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)

SSAE No. 18、Attestation Standards: Clarification and Recodification, which includes AT-C section 105, Concepts Common to All Attestation Engagements, and AT-C section 205, Examination Engagements TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
レポートの主目的

財務報告に係る内部統制に関連する可能性がある AWS の統制環境について、顧客に情報を提供すること

財務報告に係る内部統制(ICOFR)の有効性に関する評価および意見について、顧客とその監査人に情報を提供すること

システムのセキュリティ、可用性、機密性に関連する AWS の統制環境について、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること システムのセキュリティ、可用性、機密性に関連する AWS の統制環境について、AWS の内部情報を開示せずに、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること
レポートの主な確認者 顧客管理およびその監査人 ビジネスニーズのあるユーザー こちらで公開されています
AWS レポートの対象期間

6 か月:

10 月 1 日~3 月 31 日、および 4 月 1 日~9 月 30 日

6 か月:

10 月 1 日~3 月 31 日、および 4 月 1 日~9 月 30 日

6 か月:

10 月 1 日~3 月 31 日、および 4 月 1 日~9 月 30 日

既に SOC レポートの対象範囲内となっている AWS の対象サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。このサービスの使用方法やその他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。

米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、AWS GovCloud (US)、カナダ (中部)、ヨーロッパ (アイルランド)、ヨーロッパ (フランクフルト)、ヨーロッパ (ロンドン)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、アジアパシフィック (ソウル)、アジアパシフィック (ムンバイ)、南米 (サンパウロ) リージョンおよび下記の AWS エッジロケーション:

  • メルボルン(オーストラリア)
  • シドニー (オーストラリア)
  • ウィーン (オーストリア)
  • リオデジャネイロ(ブラジル)
  • サンパウロ (ブラジル)
  • モントリオール (カナダ)
  • トロント (カナダ)
  • プラハ (チェコ共和国)
  • 香港 (中国)
  • ロンドン (英国)
  • マルセイユ (フランス)
  • パリ (フランス)
  • ベルリン (ドイツ)
  • フランクフルト (ドイツ)
  • ミュンヘン (ドイツ)
  • チェンナイ (インド)
  • ムンバイ (インド)
  • ニューデリー (インド)
  • ダブリン (アイルランド)
  • ミラノ (イタリア)
  • 大阪 (日本)
  • 東京 (日本)
  • ソウル (韓国)
  • クアラルンプール (マレーシア)
  • アムステルダム (オランダ)
  • マニラ (フィリピン)
  • ワルシャワ (ポーランド)
  • シンガポール
  • マドリード (スペイン)
  • ストックホルム (スウェーデン)
  • 台北 (台湾)
  • カリフォルニア州(米国)
  • フロリダ州(米国)
  • ジョージア州(米国)
  • イリノイ州 (米国)
  • インディアナ州 (米国)
  • ミネソタ州 (米国)
  • ミズーリ州(米国)
  • ニュージャージー州(米国)
  • ニューヨーク州(米国)
  • オハイオ州 (米国)
  • オレゴン州 (米国)
  • ペンシルバニア州 (米国)
  • テキサス州(米国)
  • バージニア州(米国)
  • ワシントン州(米国)

Ernst & Young LLP が AWS の SOC 1、SOC 2、および SOC 3 の監査を行います。

AWS では、毎年、6 か月の期間を対象とする 2 つの SOC 1、SOC 2、および SOC 3 レポートを発行します (1 番目のレポートは 10 月 1 日~3 月 31 日を対象とし、2 番目のレポートは 4 月 1 日~9 月 30 日を対象とします)。新しいレポートは、5 月中旬、および 11 月中旬に公開されます。

AWS SOC 1 監査は、国際保証業務基準書第3402 号 (ISAE 3402) に沿って実施されます。ISAE 3402 レポートを必要とする顧客は、AWS SOC 1 Type II レポートを要求する必要があります。

NDA は、AWS SOC 1 および 2 レポートを確認する場合にのみ要求されます。AWS SOC 3 レポートは、こちらで公開されています。AWS SOC 3 レポートは、AWS SOC 2 レポートの要約です。レポートでは、AWS が SOC 2 に含まれる AICPA の信用提供の原則を満たしていることを概説します。また、管理の操作に関する外部監査人の意見が含まれています。

AWS SOC 1 レポートと AWS SOC 2 レポートは、お客様が AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できます。今すぐ AWS Artifact の使用を開始する

AWS SOC 3 は公開されており、ここから取得できます。

SOC リソース

 

お問い合わせ

  SOC 1 SOC 2: セキュリティ SOC 3: セキュリティ
レポートの内容 AWS の統制環境に関する説明、および AWS が定義した統制と目標の外部監査に関する説明 AWS の統制環境に関する説明、および AICPA の信頼サービスのセキュリティ原則と基準を満たす AWS 統制の外部監査に関する説明 AWS が AICPA の信頼サービスのセキュリティ原則と基準を満たしていることを実証する公開レポート
監査レポートの実行の基となるスタンダード AICPA: AT 801(旧称 SSAE 16)、Reporting on Controls at a Service Organization

AICPA: AT 101、Attest Engagements

AICPA Technical Practice Aid: TSP セクション 100、Trust Services Principles, Criteria, and Illustrations

AICPA: AT 101、Attest Engagements
レポートの主目的

財務報告に係る内部統制に関連する可能性がある AWS の統制環境について、顧客に情報を提供すること

財務報告に係る内部統制(ICOFR)の有効性に関する評価および意見について、顧客とその監査人に情報を提供すること

システムのセキュリティに関連する AWS の統制環境について、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること システムのセキュリティに関連する AWS の統制環境について、AWS の内部情報を開示せずに、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること
レポートの主な確認者 顧客管理およびその監査人 ビジネスニーズのあるユーザー ここで公開されています
AWS レポートの対象期間

6 か月:

10 月 1 日~3 月 31 日、および 4 月 1 日~9 月 30 日

6 か月:

10 月 1 日~3 月 31 日、および 4 月 1 日~9 月 30 日

12 か月:

4 月 1 日~3 月 31 日