AWS リスクとコンプライアンス ホワイトペーパーを読んだときのメモ

  • Amazon Web Services: リスクとコンプライアンス ホワイトペーパー(日本語版)
  • Amazon Web Services: リスクとコンプライアンス ホワイトペーパー(英語版)
  • 概要
    • IT環境を管理する責任は、AWSとそのお客様両者にある。
    • AWSは、セキュリティと統制環境について下記のことを行う
      • 業界の認定とサードパーティによる証明を取得
      • ホワイトペーパーやウェブでAWSのセキュリティと統制を公表
      • NDAに従いAWSのお客様に証明書、レポートを提供
  • 責任分担モデル
    • AWSが運用、管理、コントロールする部分
    • お客様が管理する部分
      • ゲストオペレーティングシステムの更新やセキュリティパッチの適用
      • アプリケーションセキュリティグループファイアウォールの設定
  • AWSが提供するIT統制情報
    • Service Oragization Controls 1(SOC 1) Type II レポート
      • 旧称 Statement on Auditing Standards (SAS) No. 70, Service Oraganization レポート
      • 米国公認会計士協会(AICPA)が作成した監査基準
      • AWSの統制目標が適切に設計されていること、お客様のデータを守るための統制が効果的に機能していることを証明するもの
      • Type II レポートは、さらに運用効率も外部監査人にテストされることを示す
      • 対象
        • EC2, S3, VPC, EBS, RDS, DynamoDB, Direct Connect, VM Import, Storage Gateway
    • FISMA Moderate
      • 米国政府機関のシステムを連邦情報セキュリティマネジメント法(FISMA)に準拠した状態で構築、運用することが可能
      • AWS は IaaS に対する3年間のFISMA Moderate認可を受けている。
    • ISO 27001認定
      • 会社とお客様情報の管理の体系的なアプローチの要件とベストプラクティスを定めるもの
      • 認定には、AWSの全リージョンのデータセンターが含まれる
    • PCI Data Security Standard(PCI DSS)
      • AWS は、共有ホスティングプロバイダに関するPCI DSS の要件を満たしている。
      • そのため、AWS 上で自社で構築した部分についてPCIコンプライアンスを構築している限り、クレジットカード情報をクラウドに保存し、処理および送信できる
      • 対象
        • EC2, EBS, VPC< RDS, ELB, IAM
    • FIPS 140-2
      • 連邦情報処理規格(Federal Information Processing Standards/FIPS) 出版物140-2は、機密情報を保護する暗号化モジュールのセキュリティ要件を指定する米国政府のセキュリティ基準
      • AWS GovCloud(米国)のVPC VPNエンドポイントよびSSL 終端 LoadBalancer はFIPS 140-2検証済みハードウェアを使用している
  • リスクについて
  • 主なコンプライアンスの問題
    • クラウドのインフラを統制する所有権は誰にあるか?
      • AWSが物理コンポーネントを統制
      • その他の部分は、お客様がすべて所有し、統制する。
    • 監査はどのように実施すればよいか?
      • 物理統制よりも上の監査はお客様の担当
      • AWSの統制の定義は、SOC 1 Type IIレポートに文書化されている
    • SOXへの準拠は?
      • 監査人がSOXの適用可能性について独自に判断する
      • ほとんどの論理アクセス統制は、お客様が管理するため、基準に適合しているかどうかはお客様が判断されるのが最適
    • ユーザーデータはどこにあるか?
      • データとサーバーを配置する物理的なリージョンはお客様が指定
      • S3のデータレプリケーションは、保存されているリージョンのクラスタ内で実行される。他のリージョンにレプリケートされない。
    • ユーザーによるデータセンター訪問を許可しているか?
      • いいえ。AWSのデータセンターでは複数のお客様をホストしているため。
    • ユーザーの分離(マルチテナント)は実施されているか?
      • 仮想化ソフトウェアによるフィルタ処理によって、割り当てられていない物理ホストにアクセスできないように設計されている。
      • シングルテナントのオプションもある(Dedicated Instance ?)。
    • プロバイダは、保守のためにシステムを停止する予定を指定しているか?
      • AWS では、定期的な保守やシステムのパッチ適用のために、システムをオフラインにする必要がない
    • ストレージデバイスが製品寿命に達した場合
      • 顧客データが権限のない人々に流出しないよy¥うにする廃棄プロセスがある。DoD 5220.22-M(国立産業セキュリティプログラム作業マニュアル)またはNIST 800-88(Guidelines for Media Sanitization、メディア衛星のためのガイドライン)を用いて、廃棄している。廃棄できない場合、業界標準の慣行に従って、消磁するか物理的に破壊される。
    • テナントに対して、データを移動できる地理的位置を指定することを許可しているか?
      • データとサーバを配置する物理的なリージョンは、AWS のお客様が指定できる
      • お客様が選択したリージョンから、法律または政府機関の要請を順守する場合を除き、お客様に通知することなく、コンテンツを移動することはない。
    • 顧客の内部基準に準拠するために、顧客の信頼できる仮想マシンイメージを提供することを許可しているか?
    • 仮想マシンイメージをダウンロードし、新しいクラウドプロバイダに移植することを許可しているか?
      • お客様はAMIをエクスポートして、別のプロバイダで使用できる。ただしソフトウェアのライセンス制限に従う。
    • セキュリティポリシー、手続き、基準、および統制の更新の頻度は?
      • ISO 27001 に合わせて、1年に1回。