AWS Artifactとは？特徴と契約・レポートの種類についてご紹介

AWS Artifactとは

AWS Artifactは、セキュリティやコンプライアンス、契約の確認・管理をサポートするサービスです。

特定のコンプライアンスレポートやオンライン契約にオンデマンドでアクセスできます。すべての機能が無料で使用可能です。

Artifact Agreements、Artifact Reportsの2種類に分かれます。

AWS Artifact Agreementsとは

AWS Artifact Agreementsは、アカウント内で結ばれている契約を管理するサービスです。

現在の契約内容をまとめて確認できる他、新しく契約を締結したり、不要になった契約を終了させることも可能です。

個人での契約となるAccount Agreementsと、組織での契約となるOrganization Agreementsに分かれます。

AWS Artifact Reportsとは

AWS Artifact Reportsは、コンプライアンス監査に関するレポートを受け取れるサービスです。

組織内の統制が適切かどうかを評価する、ダウンロードしてセキュリティ制御の証明書として使用するなどの活用法があります。

AWSだけでなく、第三者機関が制作したレポートにも対応しています。使用できるレポートについては、後の項目で紹介していきます。

AWS Artifact Agreementsの特徴

この項目では、AWS Artifact Agreementsの特徴についてご紹介します。

個人または組織の契約を確認・管理できます。契約条項をダウンロードして保管しておくことも可能です。管理画面や契約の承諾・終了の方法についての詳細は、公式ドキュメントをご覧ください。

特徴1：契約を一元管理できる

Artifact Agreementsは、契約を一元管理できます。

コンソールを開くと、現在の契約情報がまとめて表示されます。これにより、一目で契約内容を確認でき、管理が容易になります。

一度契約を終了した場合でも、必要になれば再度締結できます。

特徴2：複数アカウントの契約を管理できる

Artifact Agreementsは、AWS Organizationsと統合することで複数アカウントの契約を管理できます。Organization Agreements（組織契約）とも呼ばれます。

組織契約を受諾すると、Organizationsで作成した組織内の全メンバーに契約内容が適用されます。組織契約を受諾・終了できるのはマスターアカウントのみです。

ただし、組織内の一部メンバーのみに契約を適用することはできません。その場合は個人で契約を受諾する必要があります。

AWS Artifact Agreementsで利用できる契約

この項目では、Artifact Agreementsで利用できる契約の種類についてご紹介します。

主に機密情報保護の証明として使用されます。カスタマーアグリーメントの準拠を変更する契約も存在します。

BAA

事業提携契約（Business Associate Agreement：BAA）は、保護医療情報（PHI）が適切に保護されていることを証明する契約です。

HIPAAとHITECH（アメリカの医療情報に関する法律）により、PHIを取り扱う時は、BAAによる情報保護の証明が義務づけられています。

AWSでは、BAAを受諾することでHIPAAアカウントとして認定され、PHIを取り扱えるようになります。ただし、契約を終了するとアカウントからPHIがすべて削除されます。終了させたい時には注意しましょう。

ANDB Addendum

Australian Notifiable Data Breach Addendum（ANDB Addendum）は、オーストラリアのプライバシー法の対象となる情報の取り扱いに関連する契約です。

受諾することで、オーストラリアの1988年プライバシー法の影響下にある個人情報の保存や処理が可能です。オーストラリア関連団体と取引する際には重要な契約となります。

NZNDB Addendum

New Zealand Notifiable Data Breach Addendum（NZNDB Addendum）は、ニュージーランドの2020年プライバシー法の対象となる情報の取り扱いに関連する契約です。

簡単に言えば、ANDB Addendumのニュージーランド版です。受諾することでニュージーランドのプライバシー法の影響下にある個人情報を扱えるようになります。

日本準拠法に関するAWSカスタマーアグリーメント変更契約

日本準拠法に関するAWSカスタマーアグリーメント変更契約は、AWS カスタマーアグリーメントの準拠法を日本に変更する契約です。

日本のアカウントの場合、準拠法はワシントン州法、紛争に関する第一審裁判所（管轄裁判所）はワシントン州キング郡州裁判所または連邦裁判所に指定されています。この契約を締結することで、準拠法を日本法、管轄裁判所を東京地方裁判所に変更できます。

登場当初は個人契約にしか対応していませんでしたが、現在では組織契約も可能です。

AWS Artifact Reportsのレポートの種類

この項目では、AWS Artifact Reportsで利用できるレポートの種類についてご紹介します。

SOC、PCI、ISO、C5、FedRAMPなど、さまざまなコンプライアンスレポートに対応しています。種類によって、使用可能なサービスやリージョンが異なります。詳しくは公式ページをご覧ください。

SOC

System & Organization Control（SOC）レポートは、定義したコンプライアンスが達成されているかを検証する監査報告書です。米国公認会計士協会（AICPA）によって策定されています。

AWSの統制環境に関する情報が提供され、統制状況が簡単に把握できるようになります。

SOC1、2、3の3種類に分かれており、それぞれ取り扱う情報が異なります。1では財務報告に関連する内部統制の情報提供、2および3では可用性、機密性、セキュリティ、プライバシーなどの評価を行います。

SOC1と2はArtifactで受け取れますが、3だけはWebページで公開されています。

PCI DSS

Payment Card Industry Data Security Standard （PCI DSS）は、カードの機密情報に関連するセキュリティの基準です。クレジットカード会社5社が設立した「PCI Security Standards Council」によって管理されています。

カードの所有者データや認証データの取り扱い、セキュリティが適切であることの証明となります。

Artifactでは、Attestation of Compliance（AOC）とResponsibility Summaryをダウンロードできます。

ISO/IEC 27001:2013

ISO/IEC 27001:2013は、情報セキュリティマネジメントシステム（ISMS）を定義する規格です。

AWSでは27001:2013、27017:2015、27018:2014の認証を受けており、Artifactでこの規格の証明書をダウンロードできます。これにより、システムのセキュリティが世界標準を満たしていることを証明できます。

C5

クラウドコンピューティングコンプライアンスコントロールカタログ （C5）は、ドイツ政府が策定したセキュリティ規格です。

C5認定を受けると、一部のセキュリティ監査を受ける必要がなくなります。

AWSでは、クラウド上のアプリケーションへC5認定を付与できます。SaaSおよびPaaSにも対応しています。

FedRAMP

Federal Risk and Authorization Management Program（FedRAMP）は、アメリカ政府が策定したクラウドのセキュリティ規格です。

製品やサービスをアメリカで発信・提供したい時は、FedRAMP規格を満たす必要があります。

Artifactでは、FedRAMPのセキュリティパッケージを入手できます。

AWS Artifactを活用してみよう

この記事では、AWS Artifactについてご紹介しました。

第三者のコンプライアンスレポートや契約を一元的に確認・管理できます。これらをダウンロードすることで、セキュリティやコンプライアンスが基準に達していることを示す証明書として使用できます。

組織契約の存在から、組織管理の一環としても役立てられます。チーム内のセキュリティやコンプライアンスを徹底させたい方におすすめです。