AWS コンプライアンスソリューションガイド


AWS でコンプライアンス上の責任を果たすためによく使用されるリソースとプロセスのリポジトリ

AWS コンプライアンスソリューションガイドをご利用いただき、ありがとうございます。 このガイドは、AWS でコンプライアンス上の責任を果たすためによく使用されるリソースとプロセスのリポジトリの提供を目的として用意されています。

AWS でのセキュリティは AWS の最優先事項です。現在、AWS は世界中で大企業から政府組織、スタートアップから非営利団体まで、数百万ものアクティブユーザーを保護しています。これらの関係を通じ、AWS はあらゆる業界のお客様に AWS クラウドでコンプライアンスを確保する方法がすばやく伝わるようにクラス内最高のリソースを開発しました。AWS のお客様には、外部保証フレームワークで検証済みの運用プロセス、アーキテクチャ、セキュリティポリシーのベストプラクティスなど、AWS の蓄積してきた経験をすべて伝えています。

AWS は次の形で、お客様に合ったセキュリティと制御の環境を伝えています。

  • 業界の認証と独立サードパーティーの認定 (以下のリストを参照)
  • AWS のセキュリティと制御の手法に関する情報をまとめたホワイトペーパーやウェブコンテンツ
  • NDA に沿って AWS のお客様に直接提供する認証、レポートなどのドキュメント

コンプライアンスソリューション


AWS のコンプライアンスレポートにアクセスするベストプラクティスは、AWS Artifact のコンソールです。お客様は必要なときいつでも AWS Artifact からセルフサービスで最新の AWS コンプライアンスレポートにアクセスできます。新しいレポートは、AWS が発行するとすぐに、AWS Artifact からダウンロードできるようになります。AWS Artifact を利用すると、オンデマンドのアクセスに加え、次の 3 つのメリットがあります。

  1. クレジットカード情報の入力が不要です。アカウントの作成や AWS Artifact ポータルの利用は無料です。
  2. IAD でほかのユーザーのアカウントを設定できます。
  3. 便利なクリックスルーの NDA を利用できます。

サードパーティーによる証明、認証、Service Organization Controls (SOC) レポート、その他の関連コンプライアンスレポートでは、NDA が義務付けられています。一般公開されている AWS ISO 27001 認証と AWS SOC 3 レポートは例外です。

AWS アカウントをお持ちのお客様が AWS Artifact の利用を開始する場合、コンソールで以下のリソースを取得し、この機能の詳細を確認できます。まだ AWS アカウントのないお客様は、アカウントを作成するため、こちらの手順に従ってください。

AWS Artifact のウェブサイト - このウェブサイトでは、コンソールへのログイン方法やレポートのダウンロードについてすべてのステップを説明した Getting Started Quick Guide のほか、よくある質問がすべて掲載された AWS Artifact のよくある質問ページなど、Artfifact の基本情報を確認できます。

特に質問の多いシナリオをいくつか挙げておきます。

AWS のセキュリティとコンプライアンスに関する立場を記録するセキュリティアンケートへの回答にあたってサポートが必要な場合、AWS では、クラウドや AWS のビジネスモデルでのお客様のセキュリティやコンプライアンスに最適のリソースを取得するアプローチを推奨しています。この手続きでは、AWS の外部監査役の検証を受け、一貫した回答をお客様の顧客すべてに確実に提供できます。

AWS Artifact は、コンプライアンスレポートをすべて収録しているため、最初にご確認ください。AWS は年に数回、外部監査役の監査を受けています。この監査のほとんどは、ISO 27001、PCI、SOC などの国際セキュリティ標準に準拠しています。お客様に届くセキュリティアンケートはすべて、これらのレポートを参考にしながら回答できます。

さらに、特によくある質問の答えを紹介したオンラインリソースを何種類か用意しています。次の 2 つのドキュメントは、アンケートで最もよく参照されています。

Consensus Assessments Initiative Questionnaire - クラウドセキュリティアライアンス (CSA) は、クラウドコンピューティングのセキュリティ保証のベストプラクティスを普及するよう目指している非営利団体です。CSA の Consensus Assessments Initiative Questionnaire には、クラウドの消費者や監査役がクラウドプロバイダーにしそうな質問一式を CSA が予測してまとめています。セキュリティ、制御、プロセスに関する一連の質問を確認し、クラウドプロバイダーの選択やセキュリティ評価などの幅広い用途に活用できます。このドキュメントには、CSA のアンケートに対する AWS の回答も掲載してあります。

AWS リスクとコンプライアンスホワイトペーパー - このドキュメントでは、AWS カスタマーの IT 環境を支援する既存の管理フレームワークに AWS を統合する際に役立つ情報を確認できます。AWS の統制の評価に関する基本的なアプローチについて説明し、統制環境の統合に役立つ情報を確認できます。また、一般的なクラウドコンピューティングのコンプライアンス問題について AWS に固有の情報も確認できます。AWS Certification、プログラム、レポート、サードパーティーの証明をすべて詳細に説明してあります。CSA のアンケートは、このドキュメントの付録に掲載してあります。

これらの資料のみでは、質問への回答が難しい場合、AWS 日本担当チームのアカウントマネージャーにお問い合わせください。適切なリソースをご紹介します。

セキュリティアンケートの例

制御 質問 回答 AWS の用意したリファレンスドキュメント
暗号化 ご利用のサービスで、暗号化はサポートされていますか?

はい。AWS のお客様は、S3、EBS、SimpleDB、EC2 をはじめとするほぼすべてのサービスで独自の暗号化メカニズムを利用できます。VPC への IPSec トンネルも暗号化されます。Amazon S3 ではお客様が任意でサーバー側暗号化オプションも利用できます。またお客様の選択により、サードパーティーの暗号化テクノロジーも利用できます。

AWS セキュリティホワイトペーパー
物理統制と環境統制

クラウドプロバイダーが物理統制と環境統制の方法を指定していますか?

はい。これらの概要は、SOC 1 Type II レポートに具体的に記載されています。また、このほかに AWS のサポートする ISO 27001 や FedRAMPsm などの認定では、物理統制と環境統制のベストプラクティスが義務付けられています。

FedRAMP パッケージ、ISO 27001 レポート、SOC 1
人事トレーニングや認識

クラウドの関わるアクセスやデータ管理の問題 (マルチテナント、国籍、クラウド配信モデルの職務分掌について、利害対立など) について、テナントデータへのアクセスを持つ人員すべてに対して、ロールベースの正式なセキュリティ認識トレーニングプログラムが提供されていますか?

はい。ISO 27001 標準に準拠して、AWS の全従業員は、定期的に情報セキュリティトレーニングを受け、その完了確認を義務付けられています。定期的にコンプライアンス監査を実施し、確立されたポリシーを従業員が理解、実行できるよう徹底しています。

SOC、PCI DSS、ISO 27001、FedRAMP のコンプライアンスレポート

HIPAA BAA では特に高頻度で発生する課題がいくつかあります。HIPAA のよくある質問の完全なリスト、BAA の説明動画、ホワイトペーパーなど、BAA に関連するリソースがさらに必要な場合は、メインの AWS の HIPAA コンプライアンスのページを参照してください。

Q: 既存の BAA のハードコピーを取得できますか?

A: Artifact の BAA バージョンとハードコピーに違いはありません。Artifact ではいつでも、利用規約に同意すると、BAA の写しをダウンロードできます。既存のオフラインの BAA があるお客様は、営業担当者に写しをリクエストしてください。

Q: 既存の BAA にアカウントが追加されたことを確認するため、Exhibit A (BAA が所定のアカウントをカバーしている証拠) が必要です。

A: AWS では、既存の BAA の対象アカウントが増えたあと、更新した Exhibit A は発行していません。Artifact では、お客様がコンソールから即座に新しいアカウントを指定できます。Artifact で BAA の受理が終わると、お客様が所定のアカウント ID でコンソールにサインインし、ステータスがアクティブであることを確認できます。新しいアカウントをお客様がセルフサービスで追加できます。  対象のステータスを確認し、BAA を監査役や規制当局と共有する場合は、ダウンロードできる PDF が用意されています。また、このステータスを対象内である証拠として提示できます。

Q: BAA に入れません。あるいは NDA のチェックボックスをオンにすることができません。

A: この問題は、権限エラーが原因で発生します。お使いの AWS アカウントの IAM リクエストに対応する個人またはチームが、権限を調整する形でこの問題を解決できます。IAM アカウントの設定の詳細については、こちらを参照してください。

追加の AWS コンプライアンスリソース


header-icon_apn-partner-programs-orange

対象範囲内のサービスページで、現在対象のサービスと手続き中のサービスを詳しく確認できます。AWS 日本担当チームのアカウントマネージャーや SA も、特定サービスの具体的ニーズに関するお問い合わせを受け付けています。

header-icon_apn-partner-programs-orange

AWS のセキュリティプログラムに対する最新の更新をすべて常に追跡するには、AWS Security Blog が便利です。

header-icon_apn-partner-programs-orange

AWS の現在の利用事例の詳細については、AWS のお客様の声ページを参照してください。AWS の幅広い業界のお客様から集めた事例が列挙されています。

header-icon_apn-partner-programs-orange

具体的なコンプライアンス制度に関する詳細は、次のページでよくある質問を参照してください。

header-icon_apn-partner-programs-orange

AWS 監査人のラーニングパスは、AWS のプラットフォームを使用して内部オペレーションのコンプライアンスを実証する方法を学習したいと考えている監査人、コンプライアンス、法的なロールを持っている方向けに用意したリソースです。

compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »