始めに
社内の監査資料としてAWSのSOCレポートが必要になったものの、
"AWS Artifactで出力するレポート"くらいしか理解しておらず
実務でいざ必要になったら、「そもそもSOCレポートって何?」ってなったので
今回備忘も兼ねて内容を簡単に記載しようと思います。
SOCレポートとは
そもそもSOCレポートとは「System and Organization Controls」の略で
外部委託先の内部統制の状況を確認する為に使用される報告書のことです。
なので、SOCレポートは別にAWS独自のサービスというわけではなく
世間一般的に内部統制について第三者からの評価をうけた報告書を言うみたいですね。
報告書の公開の範囲はSOCの種類に応じて異なっており、
SOC1,SOC2,SOC3と3種類あります。
それぞれの内容についての詳しいことは以下記事がかなり分かりやすく
まとめてくださっているので、こちらを確認いただければと思います。
https://dev.classmethod.jp/articles/soc2_overview/
AWS ArtifactにおけるSOCレポートとは
さて、このSOCレポートですが、AWSのSOCレポートは年に2回
4月~9月のものが11月中旬に、10月~3月のものが5月中旬に発行され
これはAWS Artifactというサービスの利用を開始することで
アカウントごとにダウンロードできます。(無料です)
ここで間違えやすいのですが
AWS ArtifactでダウンロードできるSOCレポートは
AWS社が第三者機関から内部統制について評価を受けた報告書であり、
自社のAWSアカウントにおけるセキュリティやシステムの可用性などの
統制を評価したものではないということです。
なので、各AWSアカウントごとにこのSOCレポートを出力しても
アカウントを識別するためのウォーターマーク(透かし)以外は
同じ内容になるはずです。
私は最初各アカウントで稼働しているシステムについて
コンプライアンス的な観点での評価をしてもらったレポートなのかと
思っていましたが、冷静に考えるとサードパーティー製品まで
確認しきれないと思うのでそんなわけはないですね。
また、このSOCレポートをダウンロードするためには一部
AWSとのNDA(秘密保持契約)が必要になるので
AWSのSOCレポートを社外に共有したい場合は
AWS Artifact からダウンロードした AWS コンプライアンス
レポートの 1 ページ目に記載されている利用規約をよく読んでから
共有可能かどうか確認すべきかと思います。(全部英語ですが)
最後に
こういうのはシステムに直接関係しない分参考になる記事が
少なかったので、今回自分が調べた範囲でまとめてみました。
SOCが必要になった皆様に届くと幸いです。
また、今回の記事の内容で間違い等ございましたら
お手数ですが(優しめに)ご指摘いただけますと幸甚です。
以上!