AWS コンプライアンスソリューションガイド

AWS のコンプライアンスレポートにアクセスするベストプラクティスは、AWS Artifact のコンソールです。お客様は必要なときいつでも AWS Artifact からセルフサービスで最新の AWS コンプライアンスレポートにアクセスできます。新しいレポートは、AWS が発行するとすぐに、AWS Artifact からダウンロードできるようになります。AWS Artifact を利用すると、オンデマンドのアクセスに加え、次の 3 つのメリットがあります。

1. クレジットカード情報の入力が不要です。アカウントの作成や AWS Artifact ポータルの利用は無料です。
2. IAD でほかのユーザーのアカウントを設定できます。
3. 便利なクリックスルーの NDA を利用できます。

サードパーティーによる証明、認証、Service Organization Controls (SOC) レポート、その他の関連コンプライアンスレポートでは、NDA が義務付けられています。一般公開されている AWS ISO 27001 認証と AWS SOC 3 レポートは例外です。

AWS アカウントをお持ちのお客様が AWS Artifact の利用を開始する場合、コンソールで以下のリソースを取得し、この機能の詳細を確認できます。まだ AWS アカウントのないお客様は、アカウントを作成するため、こちらの手順に従ってください。

AWS Artifact のウェブサイト - このウェブサイトでは、コンソールへのログイン方法やレポートのダウンロードについてすべてのステップを説明した Getting Started Quick Guide のほか、よくある質問がすべて掲載された AWS Artifact のよくある質問ページなど、Artfifact の基本情報を確認できます。

特に質問の多いシナリオをいくつか挙げておきます。

AWS のセキュリティとコンプライアンスに関する立場を記録するセキュリティアンケートへの回答にあたってサポートが必要な場合、AWS では、クラウドや AWS のビジネスモデルでのお客様のセキュリティやコンプライアンスに最適のリソースを取得するアプローチを推奨しています。この手続きでは、AWS の外部監査役の検証を受け、一貫した回答をお客様の顧客すべてに確実に提供できます。

AWS Artifact は、コンプライアンスレポートをすべて収録しているため、最初にご確認ください。AWS は年に数回、外部監査役の監査を受けています。この監査のほとんどは、ISO 27001、PCI、SOC などの国際セキュリティ標準に準拠しています。お客様に届くセキュリティアンケートはすべて、これらのレポートを参考にしながら回答できます。

さらに、特によくある質問の答えを紹介したオンラインリソースを何種類か用意しています。次の 2 つのドキュメントは、アンケートで最もよく参照されています。

Consensus Assessments Initiative Questionnaire - クラウドセキュリティアライアンス (CSA) は、クラウドコンピューティングのセキュリティ保証のベストプラクティスを普及するよう目指している非営利団体です。CSA の Consensus Assessments Initiative Questionnaire には、クラウドの消費者や監査役がクラウドプロバイダーにしそうな質問一式を CSA が予測してまとめています。セキュリティ、制御、プロセスに関する一連の質問を確認し、クラウドプロバイダーの選択やセキュリティ評価などの幅広い用途に活用できます。このドキュメントには、CSA のアンケートに対する AWS の回答も掲載してあります。

AWS リスクとコンプライアンスホワイトペーパー - このドキュメントでは、AWS カスタマーの IT 環境を支援する既存の管理フレームワークに AWS を統合する際に役立つ情報を確認できます。AWS の統制の評価に関する基本的なアプローチについて説明し、統制環境の統合に役立つ情報を確認できます。また、一般的なクラウドコンピューティングのコンプライアンス問題について AWS に固有の情報も確認できます。AWS Certification、プログラム、レポート、サードパーティーの証明をすべて詳細に説明してあります。CSA のアンケートは、このドキュメントの付録に掲載してあります。

これらの資料のみでは、質問への回答が難しい場合、AWS 日本担当チームのアカウントマネージャーにお問い合わせください。適切なリソースをご紹介します。

HIPAA BAA では特に高頻度で発生する課題がいくつかあります。HIPAA のよくある質問の完全なリスト、BAA の説明動画、ホワイトペーパーなど、BAA に関連するリソースがさらに必要な場合は、メインの AWS の HIPAA コンプライアンスのページを参照してください。

Q: 既存の BAA のハードコピーを取得できますか?

A: Artifact の BAA バージョンとハードコピーに違いはありません。Artifact ではいつでも、利用規約に同意すると、BAA の写しをダウンロードできます。既存のオフラインの BAA があるお客様は、営業担当者に写しをリクエストしてください。

Q: 既存の BAA にアカウントが追加されたことを確認するため、Exhibit A (BAA が所定のアカウントをカバーしている証拠) が必要です。

A: AWS では、既存の BAA の対象アカウントが増えたあと、更新した Exhibit A は発行していません。Artifact では、お客様がコンソールから即座に新しいアカウントを指定できます。Artifact で BAA の受理が終わると、お客様が所定のアカウント ID でコンソールにサインインし、ステータスがアクティブであることを確認できます。新しいアカウントをお客様がセルフサービスで追加できます。  対象のステータスを確認し、BAA を監査役や規制当局と共有する場合は、ダウンロードできる PDF が用意されています。また、このステータスを対象内である証拠として提示できます。

Q: BAA に入れません。あるいは NDA のチェックボックスをオンにすることができません。

A: この問題は、権限エラーが原因で発生します。お使いの AWS アカウントの IAM リクエストに対応する個人またはチームが、権限を調整する形でこの問題を解決できます。IAM アカウントの設定の詳細については、こちらを参照してください。