AWS リスクとコンプライアンス ホワイトペーパーを読んだときのメモ
- Amazon Web Services: リスクとコンプライアンス ホワイトペーパー(日本語版)
- Amazon Web Services: リスクとコンプライアンス ホワイトペーパー(英語版)
- 概要
- 責任分担モデル
- AWSが運用、管理、コントロールする部分
- ホストオペレーティングシステム
- 仮想レイヤー
- 施設の物理セキュリティ
- お客様が管理する部分
- ゲストオペレーティングシステムの更新やセキュリティパッチの適用
- アプリケーションセキュリティグループファイアウォールの設定
- AWSが運用、管理、コントロールする部分
- AWSが提供するIT統制情報
- Service Oragization Controls 1(SOC 1) Type II レポート
- FISMA Moderate
- 米国政府機関のシステムを連邦情報セキュリティマネジメント法(FISMA)に準拠した状態で構築、運用することが可能
- AWS は IaaS に対する3年間のFISMA Moderate認可を受けている。
- ISO 27001認定
- 会社とお客様情報の管理の体系的なアプローチの要件とベストプラクティスを定めるもの
- 認定には、AWSの全リージョンのデータセンターが含まれる
- PCI Data Security Standard(PCI DSS)
- FIPS 140-2
- リスクについて
- お客様はご自身のクラウドインフラのスキャンをする許可をリクエストできる。
- 主なコンプライアンスの問題
- クラウドのインフラを統制する所有権は誰にあるか?
- AWSが物理コンポーネントを統制
- その他の部分は、お客様がすべて所有し、統制する。
- 監査はどのように実施すればよいか?
- 物理統制よりも上の監査はお客様の担当
- AWSの統制の定義は、SOC 1 Type IIレポートに文書化されている
- SOXへの準拠は?
- 監査人がSOXの適用可能性について独自に判断する
- ほとんどの論理アクセス統制は、お客様が管理するため、基準に適合しているかどうかはお客様が判断されるのが最適
- ユーザーデータはどこにあるか?
- ユーザーによるデータセンター訪問を許可しているか?
- いいえ。AWSのデータセンターでは複数のお客様をホストしているため。
- ユーザーの分離(マルチテナント)は実施されているか?
- 仮想化ソフトウェアによるフィルタ処理によって、割り当てられていない物理ホストにアクセスできないように設計されている。
- シングルテナントのオプションもある(Dedicated Instance ?)。
- プロバイダは、保守のためにシステムを停止する予定を指定しているか?
- AWS では、定期的な保守やシステムのパッチ適用のために、システムをオフラインにする必要がない
- ストレージデバイスが製品寿命に達した場合
- テナントに対して、データを移動できる地理的位置を指定することを許可しているか?
- データとサーバを配置する物理的なリージョンは、AWS のお客様が指定できる
- お客様が選択したリージョンから、法律または政府機関の要請を順守する場合を除き、お客様に通知することなく、コンテンツを移動することはない。
- 顧客の内部基準に準拠するために、顧客の信頼できる仮想マシンイメージを提供することを許可しているか?
- VM Imortを使うと、既存の環境からAmazon EC2インスタンスにマシンのイメージを移行できる
- 仮想マシンイメージをダウンロードし、新しいクラウドプロバイダに移植することを許可しているか?
- お客様はAMIをエクスポートして、別のプロバイダで使用できる。ただしソフトウェアのライセンス制限に従う。
- セキュリティポリシー、手続き、基準、および統制の更新の頻度は?
- ISO 27001 に合わせて、1年に1回。
- クラウドのインフラを統制する所有権は誰にあるか?