- AWS クラウドセキュリティ›
- コンプライアンスプログラム
SOC
概要
AWS System & Organization Control (SOC) レポートは、重要なコンプライアンス管理および目標を AWS がどのように達成したかを実証する、独立したサードパーティーによる審査報告書です。このレポートの目的は、お客様とお客様の監査人が、オペレーションとコンプライアンスをサポートするよう確立された AWS 統制を簡単に把握できるようにすることです。3 種類の AWS SOC レポートがあります。
- AWS Artifact で AWS のお客様に公開されている、AWS SOC 1 レポート。
- AWS Artifact で AWS のお客様に公開されている、AWS SOC 2 セキュリティ、可用性、機密性、プライバシーレポート。
- ホワイトペーパーとして公開されている、AWS SOC 3 セキュリティ、可用性、機密性、プライバシーレポート。
AWS SOC レポート
- SOC 1
AWS の統制環境に関する説明、および AWS が定義した統制と目標の外部監査に関する説明
- SOC 2: セキュリティ、可用性、機密性、プライバシー
AWS の統制環境に関する説明と、セキュリティ、可用性、機密性、プライバシーに関する AICPA の信頼サービスの基準を満たす AWS 統制の外部監査に関する説明
- SOC 3: セキュリティ、可用性、機密性、プライバシー
AWS がセキュリティ、可用性、機密性、プライバシーに関する AICPA の信頼サービスの基準を満たしていることを実証する公開レポート
- SOC 1
SSAE第18号、認証基準:明確化および再コード化(AICPA、専門基準)。これには、AT-Cセクション320「ユーザーエンティティの財務報告に対する内部統制に関連するサービス組織における統制の審査に関する報告」が含まれます。AICPAガイド、サービス組織:ユーザーエンティティの財務報告に対する内部統制に関連するサービス組織の統制審査に関する報告(SOC 1®)
- SOC 2: セキュリティ、可用性、機密性、プライバシー
SSAE第18号、認証基準:明確化と再修正。これには、AT-Cセクション105「すべての認証契約に共通の概念」と、AT-Cセクション205「試験実施AICPAガイド」、セキュリティ、可用性、処理の完全性、機密保持、またはプライバシーに関連するサービス組織の統制に関する報告(SOC 2®)TSPセクション100A、2017年のセキュリティ、可用性に関するトラストサービス基準、処理の完全性、機密性、プライバシー(AICPA、2017年トラストサービス基準)
- SOC 3: セキュリティ、可用性、機密性、プライバシー
SSAE第18号、認証基準:明確化と再修正。これには、AT-Cセクション105「すべての認証契約に共通の概念」と、AT-Cセクション205、試験契約 TSP セクション 100A、2017 トラストサービス基準(セキュリティ、可用性、処理の完全性、機密保持、およびプライバシーに関するトラストサービス基準)が含まれます(AICPA、2017年トラストサービス基準)
- SOC 1
財務報告に対する内部統制に関連する可能性がある AWS の統制環境について、お客様に情報を提供すること。
財務報告に対する内部統制 (ICFR) の有効性の評価および意見について、お客様とその監査人に情報を提供すること。
- SOC 2: セキュリティ、可用性、機密性、プライバシー
システムのセキュリティ、可用性、機密性、プライバシーに関連する AWS の統制環境の独立した評価の結果を、ビジネスニーズのあるお客様およびユーザーに提供すること。
- SOC 3: セキュリティ、可用性、機密性、プライバシー
システムのセキュリティ、可用性、機密性、プライバシーに関連する AWS の統制環境について、AWS の内部情報を開示せずに、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること
- SOC 1
顧客管理およびその監査人
- SOC 2: セキュリティ、可用性、機密性、プライバシー
ビジネスニーズのあるユーザー
- SOC 3: セキュリティ、可用性、機密性、プライバシー
こちらで公開されています。
- SOC 1
12 か月:3 月 31 日、6 月 30 日、9 月 30 日、12 月 31 日に終了
- SOC 2: セキュリティ、可用性、機密性、プライバシー
12 か月:3 月 31 日、9 月 30 日に終了
- SOC 3: セキュリティ、可用性、機密性、プライバシー
12 か月:3 月 31 日、9 月 30 日に終了
ページトピック
全般的なよくある質問
すべて開くAWS SOC 1 および SOC 2 レポートの SOC Continued Operations Letter (Bridge Letter または COL とも) は毎月更新され、Artifact (タイトル: SOC Continued Operations Letter) に掲載されています。COL は通常、SOC レポートが最後に発行された日から COL が公開されるまでの期間を対象に、毎月第 1 週に発行されます。
AWS の SOC について
すべて開く既に SOC レポートの対象範囲内に含まれる AWS のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。このサービスの使用方法やその他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。
対象範囲内のすべてのリージョンのリストは、AWS SOC 3 レポートを参照してください。
Ernst & Young LLP が AWS の SOC 1、SOC 2、SOC 3 の監査を行います。
AWS は SOC 1 レポートを四半期ごとに、SOC 2 および SOC 3 レポートを年に 2 回発行しています。各レポートは過去 12 か月を対象としています。レポートのリリース日には多くの要因が関係しますが、新しいレポートは通常、その期間の終了日の約 9~10 週間後にリリースされます。
- 春季サイクル: (4 月 1 日〜3 月 31 日) [SOC 1/2/3 は 5 月下旬頃に発行]
- 夏季サイクル: (7 月 1 日~6 月 30 日) [SOC 1 は 8 月下旬頃にのみ発行]
- 秋季サイクル: (10 月 1 日~9 月 30 日) [SOC 1/2/3 は 11 月下旬頃に発行]
- 冬季サイクル: (1 月 1 日〜12 月 31 日) [SOC 1 は 2 月下旬頃にのみ発行]
AWS SOC 1 監査は、国際保証業務基準書第 3402 (ISAE 3402) に基づいて実行されます。ISAE 3402 レポートが必要なお客様は、AWS Artifact AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して、AWS SOC 1 Type II をリクエストしてください。AWS マネジメントコンソールで AWS Artifact にサインインするか、「AWS Artifact の開始方法」ページで詳細をご覧ください。
AWS SOC 1 と SOC 2 レポートを閲覧するには、NDA が必要です。AWS SOC 3 レポートは、AWS SOC 2 レポートの公開可能な要約です。AWS SOC 3 レポートでは、AWS が SOC 2 に含まれる AICPA の信頼サービス基準をどのように満たしているかが概説されています。また、管理のオペレーションに関する外部監査人の意見が含まれています。最新の AWS SOC 3 レポートは AWS ウェブサイトで公開されています。
AWS SOC 1 と AWS SOC 2 は、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できます。AWS マネジメントコンソールで AWS Artifact にサインインするか、「AWS Artifact の開始方法」ページで詳細をご覧ください。
最新の AWS SOC 3 レポートは、AWS のウェブサイトで公開されています。
AWS は SOC 1 レポートを四半期ごとに、SOC 2/3 レポートを年に 2 回発行します。各レポートは 12 か月の期間を対象としています。次に予定されているレビューサイクルで、必要に応じて新しいリージョンを SOC レポートのスコープに含めます。