タダです。
タイトルにある、『AWS リスクおよびコンプライアンス(日本語)』のホワイトペーパーを読んだのでそのメモになります。
コンプライアンスと管理が強力な場合は、次の基本的なアプローチが考えられる
1.AWSから入手できる情報と他の情報をレビューしてIT環境全体について可能な限り理解し、
すべてのコンプライアンス要件を文書化する
2.企業のコンプライアンス要件を満たす統制目標を設計し、実施する
3.社外関係者が行う統制を特定し、文書化する
4.すべての統制目標がみたされ、全ての主な統制が設計され、効率的に運営されていることを検証する
AWSのIT統制情報
AWSは次の2つの方法でIT統制情報をお客様に提供する
1.固有の統制定義
AWSのお客様はAWSが管理する主な統制を特定できる。主な統制はお客様の統制環境にとって不可欠であり、
年次の会計監査等のコンプライアンス要件に準拠するには、その主な統制の運用効率について外部組織による証明が必要。
そのために、AWSは SOC 1 TypeII レポートで幅広く詳細なIT統制を公開している。SOC I監査はAWSで定義している統制目標及び
統制活動の設計と運用効率の両方に詳細な監査。
Type IIは、レポートに記載されている格闘性が統制の妥当性に関して評価されるだけでなく、運用効率について外部監査人によるテスト対象であることを示す
他の固有の統制活動は、PCI(Payment Card Industry)およびFISMA(連邦情報セキュリティマネジメント法)のこんぷらに関連する。
2.一般的な統制基準への準拠
包括的な統制基準が必要な場合には、AWSを業界基準の面から評価することも可能。
AWSは幅広く包括的なセキュリティ基準に準拠し、安全な環境を維持するためのベストプラクティスに従っており、ISO 27001認定を取得している。
その他、PCIやFISMAに準拠しているので、お客様は所定の統制及びセキュリティプロセスの包括的な特性について詳細な情報を得ることができる
AWS リスク及びコンプライアンスプログラム
リスク管理
AWS内でAWSマネジメントが責任領域内のリスクを特定し、リスクを解決するための適切な対策を実施できているかを評価する
AWS統制環境は様々な内部的な外部的リスクアセスメントによって規定されている
AWSセキュリティはサービスエンドポイントIPアドレスに接するすべてのインターネットの脆弱性を定期的にスキャンする
判明した脆弱性があれば、修正するため適切な関係者に通知される
情報セキュリティ
AWSでは、お客様のシステムおよびデータの機密性、完全性、及び可用性を保護するために設計された情報セキュリティプログラムを実施した
AWSの報告、認定、及びサードパーティによる証明
・FedRAMP:第三者評価組織による認定。米国リージョンはすべて認定受けている。
・FIPS 140-2:AWS GovCloud(米国)環境の仕様時にコンプライアンスの管理に必要となる情報を提供する
・FISMAとDISACAP:FISMA(連邦情報セキュリティマネジメント法)とDIACP(DoD Information Assurance Certification and Accreditation Process)
・HIPAA:米国医療保険の携行性と責任に関する法律
・ISO 9001: AWSクラウドで品質管理されたITシステムを開発、移行、運用するお客様を直接サポートする
品質し伝手無の要件が無いお客様にもISO 9001認証によりAWSの保障や透明性が向上するメリットあり
・ISO 27001 : 会社と顧客情報の管理の体系的なアプローチの要件とベストプラクティスを定めるもの
・ITAR : 武器規制国際交渉規則
・PCI DSS レベル1
・SOC 1
・SOC 2
・SOC 3