[前回] AWS公式資料で挑むSCS認定(10)-KMS(続き)
はじめに
「自己主張ばかりじゃなく、相手の立場も考えてみー」子供の頃ケンカした自分に母が。
譲り合い、思いやりで、平和な世界は取り戻せないものでしょうか。
今回から「Security, Identity & Compliance」に分類されるサービス群の勉強です。
早速、AWS Artifact。
コンプライアンス(法令遵守)管理を効率化してくれるサービスらしいです。
どのようなセキュリティサービスを提供してくれるか、わくわくしますね。
教材を選ぶ
[AWS Black Belt Online Seminar] AWS Artifactを教材として使用します。
丁寧に書かれ、わかりやすい資料、感謝です。
監査とは
監査によって、合理的な説明責任を果たすことができるとのこと。
IT監査/システム監査とは
- 経営者に代わって監査人がITガバナンス(統制)の点検、評価をして経営者に提言を行い改善をすること
- 監査が必要になった背景は、個人情報保護法の施行や、金融商品取引法による内部統制報告
監査の種類
監査形態の観点から
- 保証型監査
- 一定の基準を満たしているかについて監査人が保証意見を提示する監査(会計監査、SOC監査)
- 助言型監査
- 問題点を検出し、改善を提言する監査
監査主体の観点から
- 内部監査
- 組織内の内部統制の一貫として行われる監査
- 外部監査
- 組織とは利害関係のない外部の専門家によって行われる、一定規模の企業や業種で義務付けられている
監査目的の観点から
- システム監査
- システム全体に対する監査。経済産業省が作成したシステム監査基準が存在する
- セキュリティ監査
- 情報セキュリティを対象とした監査。ISO 27001,27002のようなベストプラクティスや基準がある
- 認証取得のための監査
- PCI DSS, ISMS, FedRAMPなどの認定取得のための監査
- 内部統制監査
- 企業の財務統制を評価する監査(J-SOX監査等)
コンプライアンス標準
コンプライアンス標準を満たしているか評価するための監査が、
AWSなどクラウド事業者に対しても行われているとのこと。
各種コンプライアンス標準の監査目的:
- SOC(Systems and Organization Controls)
- SOC1 : 財務報告に影響する内部統制の評価
- SOC2 : システムの有効性の評価
- PCI DSS
- クレジットカード情報の安全な取り扱い
- ISO/IEC 27001(日本ではISMS)
- 情報セキュリティマネジメントシステムが構築され、適切に管理しているかを確認
- FedRAMP
- 米国政府期間が利用するクラウドサービスのセキュリティ認証
- ISMAP
- 政府利用のための安全なクラウドサービス・プロバイダ認定
AWS Artifactとは
AWSセキュリティおよびコンプライアンスに関するレポートとAWSとの契約に関するサービスを提供してくれる。
- オンデマンドでダウンロードできるレポート
- AWS ISO 認定
- Payment Card Industry(PCI)
- Service Organization Control(SOC)
- 特定のAWSとの契約を確認、承認、管理できる
- 組織内の現在および将来のすべてのアカウントに AWSの契約を適用できる
- ※ 重要:AWS Artifact内の情報は秘密情報で、契約に基づいてのみ開示できる
AWS Artifactのユースケース
- AWSユーザーの視点
- コンプライアンスに関するレポート
- AWSとの契約について、確認/承認/管理
- AWS監査人の視点
- AWS のデューデリジェンスを実施し、AWS のセキュリティ管理環境の高い透明性を保つ
- デューデリジェンス(Due Diligence)とは、投資などの対象となる企業の価値やリスクなどを調査すること
- AWS のセキュリティとコンプライアンスを継続的にモニタリングし、新しいレポートをすぐに確認できる
- AWS のデューデリジェンスを実施し、AWS のセキュリティ管理環境の高い透明性を保つ
レポートの第三者への開示
AWSの機密情報にあたるため慎重に。
- 明示的に許可されている場合をのぞいて外部に公開しない
- エンドユーザーからの合理的な要求がある場合に、Terms and Conditionに従ったうえで完全な形でレポートの開示が可能
- AWSへの連絡は不要(ただし、必要に応じて、記録を管理)
SOC保証報告書(Service Operations Controls)
米国公認会計士協会(AICPA)が定義した内部統制保証報告の仕組み。
- SOC1, SOC2, SOC3に大別される。SOCレポートの目的の違い
- SOC 1
- AWS の統制環境に関する説明
- AWS が定義した統制と目標の外部監査に関する説明
- SOC 2
- セキュリティ、可用性、機密性
- AWS の統制環境に関する説明
- AICPA の信頼サービスのセキュリティ、可用性、機密性の原則
- 基準を満たす AWS 統制の外部監査に関する説明
- プライバシー
- AWS の統制環境に関する説明
- AICPAの信頼サービスのプライバシー原則
- 基準を満たす AWS 統制の外部監査に関する説明
- セキュリティ、可用性、機密性
- SOC 3
- AWS が AICPA の信頼サービスのセキュリティ、可用性、機密性の原則
- 基準を満たしていることを実証する公開レポート
- SOC 1
- 監査の対象期間によって
- Type Ⅰ(時点監査)
- Type Ⅱ(期間監査)
- Trustサービスの原則および基準に対して、クラウド事業者が言明を行い、監査人が評価を行う
PCI DSSレポート
Payment Card Industry Data Security Standard (PCI DSS) は、
カード所有者のデータ(CHD)や機密性の高い認証データ(SAD)を
保存、処理、転送するエンティティに適用されるセキュリティ標準。
- 明確な基準に基づく評価をおこなう
- PCI DSS Attestation of Compliance(AOC) および Responsibility Summaryを入手可能
AWS Artifact Organization Agreementsの活用
組織内のすべてのアカウントに代わって 1 つの契約を受諾することで、
複数の AWS アカウントの契約管理を簡素化。
- マスターアカウントで作業を行うと、一括してメンバーアカウントへその設定が適応され
る - 一部のメンバーアカウントのみの契約を受諾したい場合は、各アカウントに個別にサイン
インし、AWS Artifact Account Agreements ([Account agreements] タブ) から関連する契約を受諾
おわりに
AWS Artifactの勉強だけでなく、セキュリティ実運用に必要な
コンプライアンス標準や監査レポートなど有意義な知識も多々学べました。
次回は、AWS Audit Managerです。お楽しみに。