Amazon Web Services ブログ

AWS カスタマーコンプライアンスガイドを一般公開

本ブログは 2024 年 2 月 22 日に公開された Blog ”AWS Customer Compliance Guides now publicly available” を翻訳したものです。

AWS グローバルセキュリティ&コンプライアンスアクセラレーション (GSCA) プログラムが、AWS カスタマーコンプライアンスガイド (CCG)をリリースしました。CCG は、AWS コンプライアンスのリソースページから取得できます。業界をリードするコンプライアンスフレームワークが AWS セキュリティドキュメントとセキュリティのベストプラクティスにどのようにマッピングされているかを、お客様、AWS パートナー、および評価者が迅速に理解するのに役立ちます。

CCG は、130 を超える AWS サービスや機能に対して、16 の異なるコンプライアンスフレームワークにマッピングされたセキュリティガイダンスを提供します。お客様は、利用可能なフレームワークとサービスを選択し、コンプライアンスの観点を通して「クラウド内」のセキュリティが AWS サービスにどのように適用されるかを確認できます。

CCG は、AWS サービスの構成オプションに関連するセキュリティトピックと技術的管理策に重点を置いています。これらのガイドは、AWS サービス全体で一貫しているセキュリティトピックや管理策、あるいはポリシーやガバナンスなどお客様組織特有のものは扱いません。その結果、ガイドはより簡潔で、各 AWS サービスに特有のセキュリティとコンプライアンスの考慮事項に重点が置かれるようになりました。

ガイドに関するフィードバックを大切にしています。アンケートにご回答いただき、あなたのご意見をお聞かせください。また、新しいサービスやフレームワークのリクエスト、改善の提案もお待ちしています。

CCG (Control-Based Cloud Configuration Guide) は、AWS サービスのユーザーガイドの要約を提供し、構成ガイダンスを以下のフレームワークのセキュリティ統制要件にマッピングします。

  • 米国国立標準技術研究所 (NIST) SP 800-53
  • NIST サイバーセキュリティフレームワーク (CSF)
  • NIST SP 800-171
  • System and Organization Controls (SOC) II
  • Center for Internet Security (CIS) Critical Controls v8.0
  • ISO 27001
  • 北米電力信頼性協議会 (NERC) 重要インフラ保護 (CIP)
  • クレジットカード業界データセキュリティ基準 (PCI DSS) v4.0
  • 米国防総省サイバーセキュリティ成熟度モデル認証 (CMMC)
  • 医療保険の相互運用性と説明責任に関する法律(HIPAA)
  • カナダサイバーセキュリティセンター (CCCS)
  • ニューヨーク州金融サービス局 (NYDFS)
  • 米国連邦金融機関検査協議会 (FFIEC)
  • クラウドコントロールマトリクス (CCM) v4
  • 情報セキュリティマニュアル (ISM) (オーストラリア)
  • 政府情報システムのためのセキュリティ評価制度 (ISMAP) (日本)

CCG は、以下の方法でお客様を支援できます:

  • AWS ユーザーガイドを手動で検索して「クラウド内」のセキュリティ詳細を理解し、構成ガイダンスをコンプライアンス要件に合わせるプロセスを短縮します
  • お客様のワークロードで実行されている AWS サービスに基づいて、リスク評価や監査に適用される統制の範囲を決定します
  • 組織での使用を検討している新しい AWS サービスについて、デューデリジェンス評価を実施するお客様を支援します
  • 評価者やリスクチームに、AWS サービスのセキュリティ統制範囲と、お客様が実装する責任のある統制範囲を特定するためのリソースを提供します。これにより、評価や内部セキュリティチェックに必要なエビデンスの範囲が影響を受ける可能性があります
  • 様々なコンプライアンス文書要件を満たすため、または評価エビデンス要求に応えるために必要となる可能性のある、統制対応や手順などのセキュリティ文書を作成するための基礎を提供します

AWS グローバルセキュリティ&コンプライアンスアクセラレーション (GSCA) プログラムは、時間とコストの削減を支援することで、AWS 上でコンプライアンスに準拠したワークロードの構築を導き、自動化し、加速するのに役立つお客様を AWS パートナーとつなぎます。GSCA は、医療、プライバシー、国家安全保障、金融セクターのセキュリティ、プライバシー、コンプライアンス要件を満たす必要があるグローバルに企業をサポートしています。GSCA コンプライアンススペシャリストとつながるには、GSCA プログラムのアンケートにご記入ください。

このブログに関するご意見やご感想がある場合は、以下のコメントセクションにコメントをお寄せください。このブログに関する質問がある場合は、AWS サポートにお問い合わせください。

Kevin Donohue

Kevin Donohue

Kevin は AWS ワールドワイドパブリックセクターのシニアセキュリティパートナーストラテジストで、顧客のコンプライアンス目標達成を支援することを専門としています。Kevin は 2019 年に AWS に入社し、AWS セキュリティアシュアランスで米国政府顧客をサポートしてきました。バージニア州北部を拠点とし、仕事以外では妻と娘と一緒に屋外で過ごすことを楽しんでいます。

本ブログは Security Solutions Architect の 中島 章博 が翻訳しました