AWS
FISC

[金融機関編]委託先審査で確認されるAWS関連とかその他のあれこれ

TL;DR

金融機関などへサービス提供する際に業務委託先としてふさわしいかの審査が入ります。
その際によく聞かれるAWSにまつわるあれこれ。
追記していく。。と思う。きっと。

FISC対応状況

https://aws.amazon.com/jp/compliance/fisc/

FISC各項目に対するAWSの見解が記載されている。
基本的に最新版のFISCに関するリファレンスのみしか記載されていないため、
旧版のFISCに関するリファレンスは必要に応じて保存しておく必要がある。

某DさんやAさんのようなコンサルティングを生業にする企業や、Cloud Integraterと呼ばれるCloudpackさん、Serverworksさん、Class methodさんに問い合わせてみると、旧版FISCについてのリファレンスも入手できるかもしれない。

データセンター所在地

リージョン毎に都市までは確認可能
https://aws.amazon.com/jp/about-aws/global-infrastructure/

データセンター入館管理

AWS リスクおよびコンプライアンスホワイトペーパー(日本語) P60より抜粋
https://s3.amazonaws.com/awsmedia/jp/wp/AWS_Risk_and_Compliance_Whitepaper.pdf

AWSは、データセンターへのアクセスのための多要素認証メカニズム、および権限のある関係者のみがAWSデータセンターに入場するための追加のセキュリティメカニズムを利用しています。
権限のある関係者は、施設への入場および許可された部屋への入室には、カードリーダーでバッジを使用し、一意のPINを入力する必要があります。
データセンターへの物理的なアクセスは、AWSの電子アクセス制御システムに基づいて行われます。
このシステムの構成では、建物や部屋の入り口ではカードリーダーとPINパッドを、出口ではカードリーダーのみを使用します。
建物や部屋の出口でカードリーダーを使用することで、パスバック防止機能を提供し、許可のない人が許可のある人の後にぴったりついて、バッジなしで入場できないようにします。

下記資料の17Pにもデータセンターセキュリティについての情報あり。
http://d36cz9buwru1tt.cloudfront.net/jp/documentation/Security_Compliancev2_2_201612.pdf

適用される法律

13.4 準拠法
https://d1.awsstatic.com/legal/aws-customer-agreement/AWS_Customer_Agreement_Japanese.f9491bf0bf362b619a4fc5939c92702edf80bbce.pdf

フォレンジック調査のサポートについて

PCI-DSS A 1.4に則り、サポートされている。

https://aws.amazon.com/jp/compliance/pci-dss-level-1-faqs/

AWSは必要に応じてフォレンジック調査をサポートしますか?

はい。AWS は、DSS 要件の A 1.4 に従い、フォレンジック調査を管理しています。お客様、またはお客様が指定した Qualified Incident Response Assessors(QIRA)は、フォレンジック調査の実行が必要な場合に AWS に問い合わせることができます。