AWSにおけるコンプライアンスサポート｜特徴や検証可能な規格の種類をご紹介

AWSのコンプライアンスサポートとは

Amazon Web Services（AWS）では、コンプライアンスの監査や管理をサポートするサービスが提供されています。 例えば、コンプライアンスに関するレポートを自動で生成する、アクションを収集・記録して違反を特定しやすくする、といったサービスがあります。これらのサポート機能を駆使することで、コンプライアンス監査を簡易化し、正確性も高められます。

AWSのコンプライアンスサポートの特徴

この項目では、AWSのコンプライアンスサポートの特徴についてご紹介します。 対応する規格の幅広さから、さまざまな業界や分野、システムでAWSによるコンプライアンスサポートを導入できます。

特徴1：さまざまな規格に対応

AWSのコンプライアンスは、さまざまな種類の規格に対応しています。 具体例として、ISO、SOC、PCI DSS、HIPAA、ISMAPなどがあります。こうした種類の豊富さから、金融、小売、ヘルスケアなど、幅広い分野でのコンプライアンス監査が可能です。

特徴2：モニタリングによる監査の簡易化

AWSのコンプライアンスは、モニタリングサービスと組み合わせることで監査を簡易化できます。 主なコンプライアンスに関するモニタリングサービスとして、CloudTrailとAudit Managerがあります。 CloudTrailは、システムの設定変更、API呼び出し、セキュリティイベントといったアクションをモニタリングし、ログとして記録します。コンプライアンスに違反するアクションを特定する、監査のための参考資料にするといった活用ができます。 Audit Managerは、システムの変更、セキュリティ、キャプチャされたデータなどの情報を自動で収集します。さらに、構築済みのフレームワークを用いることで、情報を簡単にコンプライアンス規格にマッピングできます。手動での作業を削減し、監査を素早く実行できます。

特徴3：Artifactによるレポート提供

Artifactは、セキュリティやコンプライアンス、契約の確認・管理をサポートするサービスです。 Artifactではコンプライアンスレポートが提供されており、マネジメントコンソールから各レポートにオンデマンドでアクセスできます。さらに、各レポートをダウンロードすることで、システムがコンプライアンス規格に準拠している旨の証明書として使用できます。 これらの機能はすべてのユーザーに無料で提供されます。

AWSのコンプライアンスの種類

この項目では、AWSで検証可能なコンプライアンス規格の種類についてご紹介します。国際規格から各国独自の規格まで、対応範囲は多岐にわたります。その中から、一部を抜粋してご紹介します。

SOC

System & Organization Control（SOC）は、定義したコンプライアンスが達成されているかを検証する監査報告書です。米国公認会計士協会（AICPA）によって策定されています。 SOC1、2、3の3種類に分かれており、それぞれ取り扱う情報が異なります。1では財務報告に関連する内部統制の情報提供、2および3では可用性、機密性、セキュリティ、プライバシーなどの評価を行います。 AWSでは、SOCレポートを通じてクラウドの統制環境に関する情報が提供されます。3種類のうち、SOC1、2はArtifactでレポートをダウンロードできます。SOC3についてはホワイトペーパーとして公開されています。 出典：SOC│AWS 参照：https://aws.amazon.com/jp/compliance/soc-faqs/

ISO

International Organization for Standardization（ISO）規格は、非政府組織「国際標準化機構」によって策定されている国際標準です。 AWSでは、9001、27001、27017、27018の4種類の規格に準拠しています。いずれもArtifactでレポートを受け取ることができます。 出典：ISO – International Organization for Standardization│ISO 参照：https://www.iso.org/home.html

ISO 9001

ISO 9001は、品質管理に関する規格です。 品質管理システムの要件、サービス開発の手順、リソースの管理など、品質管理のプロセスに関する情報が概説されています。認証を受けることで、提供するサービスが高品質であることを証明できます。 出典：ISO 9001：2015 コンプライアンス│AWS 参照：https://aws.amazon.com/jp/compliance/iso-9001-faqs/

ISO 27001

ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）に関する規格です。 セキュリティを管理するシステムの構築・運用、リスクの評価・処理などに関する要件を定義しています。認証を受けることで、システムのセキュリティが世界標準を満たしていることを証明できます。 出典：ISO/IEC 27001：2013│AWS 参照：https://aws.amazon.com/jp/compliance/iso-27001-faqs/

ISO 27017

ISO/IEC 27017は、クラウドコンピューティングの情報セキュリティに関する規格です。 ISO 27001にクラウドコンピューティングのセキュリティ管理ガイダンスを追加したもので、言わばISO 27001の拡張版です。認証を受けることで、提供または利用しているクラウドサービスがセキュリティを確保していることを証明できます。 出典：ISO/IEC 27017：2015 コンプライアンス│AWS 参照：https://aws.amazon.com/jp/compliance/iso-27017-faqs/

ISO 27018

ISO/IEC 27018は、クラウド上での個人識別情報（PII）に関する規格です。 ISO/IEC 27002に基づいており、パブリッククラウドサービスにおけるPIIを保護するための管理目標およびガイダンスを提供しています。認証を受けることで、クラウド上の個人情報に対するセキュリティが確保されていることを証明できます。 出典：ISO/IEC 27018：2019 コンプライアンス│AWS 参照：https://aws.amazon.com/jp/compliance/iso-27018-faqs/

CSA

Cloud Security Alliance（CSA）は、安全なクラウドコンピューティング環境を構築するためのベストプラクティスを提供している非営利組織です。 クラウド上のセキュリティに関するガイダンスやモデル、推奨事項などを定義しています。 AWSでは、CSAのレベル1、レベル2の認定を受けており、Consensus Assessment Initiative Questionnaire（CAIQ）およびCSAレベル2の証明書をArtifactでダウンロードできます。 出典：クラウドセキュリティアライアンス（CSA）│AWS 参照：https://aws.amazon.com/jp/compliance/csa/

PCI DSS

Payment Card Industry Data Security Standard（PCI DSS）は、カードの機密情報に関連するセキュリティの基準です。クレジットカード会社5社が設立した「PCI Security Standards Council」によって管理されています。 カードの所有者データ（CHD）や認証データ（SAD）の取り扱いやセキュリティが適切であることの証明となります。 AWSはPCI DSSレベル1のサービスプロバイダーとして認証を受けており、CHDやSADを取り扱うシステムを構築できます。 出典：PCI DSS│AWS 参照：https://aws.amazon.com/jp/compliance/pci-dss-level-1-faqs/

HIPAA

Health Insurance Portability and Accountability Act（HIPAA）は、医療情報に関するアメリカの法律です。 保険、診断データ、検査結果といった保護医療情報（PHI）に対して、セキュリティの確保とプライバシーの保護を義務づけています。 AWSでは、Artifactで事業提携契約（BAA）を受諾することでHIPAAアカウントとして認定され、AWS上でPHIを取り扱えるようになります。 出典：HIPAA│AWS 参照：https://aws.amazon.com/jp/compliance/hipaa-compliance/

ISMAP

政府情報システムのためのセキュリティ評価制度（ISMAP）は、クラウドサービスのセキュリティ性の確保を目的とした、日本政府のセキュリティ評価システムです。 政府が定義したセキュリティ水準を満たしたクラウドサービスを評価・登録することで、セキュリティ性を確保し、クラウドサービスを円滑に導入できるようにします。 AWSはISMAPの認定を受けており、AWSのクラウド上でISMAPの要件を満たしたサービスを提供できます。 出典：政府情報システムのためのセキュリティ評価制度（ISMAP）│AWS 参照：https://aws.amazon.com/jp/compliance/ismap/

AWSでコンプライアンス監査を簡易化しよう

この項目では、AWSのコンプライアンスサポートについてご紹介しました。 レポートやモニタリングといったサポート機能によって監査を簡易化し、コンプライアンスの保証を要するシステムやサービスの運用を素早く開始できます。 監査の負担を減らしたい、製品の品質を高く保ちたいといった方は、AWSを利用してサービスを構築してみましょう。]]>