AWS セキュリティに関するよくある質問

1. AWS に関するセキュリティチェックシートにはどのように記入すればよいですか?

AWS のセキュリティとコンプライアンスの状況をドキュメント化するための調査票への記入にお困りの場合、以下のリソースを推奨します。これらは、セキュリティとコンプライアンスのセキュリティチェックシートに回答する際に最もよく使用されるものです。

AWS Artifact

https://aws.amazon.com/jp/artifact

AWS Artifact は、コンプライアンス関連の情報を得るための中心的なリソースです。AWS のセキュリティとコンプライアンスレポート、および特定のオンライン契約書にオンデマンドでアクセスできます。AWS SOC 2 レポートは、AWS のセキュリティ管理の実装と運用効果の包括的な概要を提供するため、セキュリティチェックシートへの回答に特に役立ちます。AWS FedRAMP パートナーパッケージ内のエグゼクティブブリーフィングも有用なドキュメントです。

クラウドセキュリティアライアンス コンセンサス評価イニシアチブ質問票

https://d1.awsstatic.com/whitepapers/compliance/CSA_Consensus_Assessments_Initiative_Questionnaire.pdf

CSA コンセンサス評価イニシアチブ質問票は、CSA がクラウド消費者や監査人がクラウドプロバイダーに尋ねると予想する一連の質問を提供します。セキュリティ、管理、プロセスに関する一連の質問が含まれており、クラウドベンダーの選択やセキュリティ評価など、幅広いケースで使用できます。こドキュメントには CSA 質問票に対する AWS の回答が含まれています。

AWS におけるリスクと規制コンプライアンス:

https://docs.aws.amazon.com/ja_jp/pdfs/whitepapers/latest/aws-risk-and-compliance/aws-risk-and-compliance.pdf

このドキュメントは、一般的なクラウドコンピューティングのコンプライアンスに関する AWS 固有の情報を扱っています。すべてのAWS第三者認証、プログラム、レポート、証明について詳細な説明を提供しています。

AWS データセンターセキュリティチェックウェブサイト:

https://aws.amazon.com/jp/compliance/data-center/controls

多くの質問票には、データセンターの物理的セキュリティに関する質問のセクションがあります。このウェブサイトでは、私たちの物理的および環境的管理の一部について情報を提供しています。

AWS データセンターのバーチャルツアー:

https://aws.amazon.com/jp/compliance/data-center/data-centers/

以下の層でセキュリティを提供するためにデータセンターをどのように構築しているかについての重要な側面を学べます:

  • 境界層
  • インフラストラクチャ層
  • データ層
  • 環境層

2. 一般的なクラウドセキュリティとコンプライアンス基準を満たす AWS のサービスと機能は何ですか?

AWS のスコープ内サービス は、一般的なコンプライアンス基準を満たすと評価されているサービスのリストを提供しています。特に除外されていない限り、リストに記載されている各サービスの特性はコンプライアンスプログラムの範囲内にあると見なされ、評価の一部として確認およびテストされます。AWSサービスの機能についてより詳しく知るには、AWSドキュメントをチェックしてください。

3. AWS で規制要件を満たすことはできますか?

AWS は世界中に顧客を持ち、進化する規制に継続的に適応しています。AWS コンプライアンスセンター では、クラウド関連の規制要件とそれがあなたの業界にどのように影響するかを調査するための中心的な場所を提供します。興味のある国を選択すると、AWS コンプライアンスセンターがその国のクラウドサービス採用に関する規制上の立場を表示します。

4. AWS にはサブプロセッサーがいますか? - データセンターへのサブコントラクターのアクセス:

AWSは、AWS サブプロセッサー ウェブサイトにリストされている事業体を、顧客に代わって特定の処理活動を実行したり、データセンター施設管理活動を行ったりするために雇用することがあります。このウェブサイトでは、顧客がリストの変更についてメール通知を購読するオプションも提供しています。

AWS は、AWS にアップロードした顧客所有のコンテンツ (個人データを含む可能性のあるコンテンツを含む) にアクセスできるサブコントラクターについて、積極的に顧客に通知します。AWS にアップロードした顧客所有のコンテンツにアクセスを許可されているサブコントラクターは存在しません。年間を通じてサブコントラクターのアクセスを監視するには、AWS 第三者アクセス ウェブサイトをご覧ください。

5. 事業継続性や災害復旧ポリシーのために AWS のデータセンターの場所を教えてもらえますか?

AWS のデータセンターの場所は、顧客データのセキュリティとプライバシーを維持するために厳重に機密情報として扱われています。場所は、現場に行く承認されたビジネス上の必要性のある AWS 従業員と請負業者にのみ開示されます。

顧客は、AWS がデータセンターに設置しているすべてのセキュリティ管理を考慮することで、AWS の物理インフラストラクチャのセキュリティと耐障害性を評価できます。AWS のデータセンターに関連するリスクを評価する際の助けとして、AWS はAWS データセンター管理 ウェブサイトと、AWS Artifact で入手可能な AWS SOC 2レポートを提供しています。

6. 顧客が災害復旧計画の一部として評価すべき重要な要因は何ですか?

AWS を災害復旧計画の一部として評価する顧客は、まず耐障害性の目標を特定し、耐障害性と災害復旧に関する適用可能な規制要件を考慮する必要があります。その後、顧客は耐障害性の目標と規制要件を満たすように AWS 環境を設計できます。例えば、環境リスクを軽減するために、顧客は目標を達成するために物理的に分離された可用性ゾーンとリージョンを活用するように AWS ワークロードを設計できます。高可用性要件を持つ顧客は、重要なアプリケーションに対して複数の可用性ゾーンやリージョンを使用することがよくあります。詳細については、AWS の災害復旧ウェブサイト、AWS データセンター管理 ウェブサイト、およびAWS Artifact で入手可能な AWS SOC 2レポートをご覧ください。