AWSセキュリティ編~AWSにおけるセキュリティの考え方②~


こんにちは! HEROです!
個人的なお話ですがAWS認定ソリューションアーキテクト(アソシエイトレベル)に合格しました!こんなにうれしいことはない!

さて、前回はAWSのセキュリティについてご紹介しましたがいかがでしたでしょうか?
今回からは、その一つ一つの内容に対して掘り下げていこうと思います!

今回、深堀するのは第三者認証についてです。

AWS取得第三者認証

まずは前回のおさらいです。
AWS は、ISO 27001 認証を取得しているほか、Payment Card Industry(PCI)データセキュリティ基準(DSS)のレベル 1 サービスプロバイダとしても認定されています。AWS は、毎年 SOC 1 監査を受け、米国連邦政府システムの Moderate レベルおよび DoD システムの DIACAP Level 2 としての評価を獲得しています。

いずれの認証も、特定のセキュリティ管理が目的どおりに実施、運用されていることが監査人によって検証されたことを意味しています。

セキュリティ一覧

といってもこれらが何の認証かわかる人はなかなかいませんよね。いくつかご紹介しましょう。

SOC2

SOC2
SOCとは、クラウドサービスプロバイダが受託開発業務に関わる内部統制ついての保証報告書のことです。 SOC2報告書の目的はセキュリティ、可用性、機密保持などといったシステム管理における重要な領域を対象に外部監査人の保証を得ることにあります。

参考:http://www.shinnihon.or.jp/services/advisory/itr-and-a/column/2013-05-29.html

ISAE 3402 

ISAE 3402

ISAE3402(国際保証業務基準3402)とは、委託会社の財務諸表に関連する業務(信託財産運用・保管、給与計算、ITアウトソーシング等)を受託した会社の依頼に基づき、監査人がその受託業務に関する内部統制について評価し、報告書を作成するための基準として国際会計士連盟(IFAC)が定めたものです。

ISAE3402/SSAE16/86号報告書は、日本では信託銀行や生命保険会社、投資運用会社、システム会社、人事関連アウトソーシング外車などの金融機関や企業の業務などで数多く作成されています。

参考:http://www.kpmg.com/jp/ja/knowledge/glossary/pages/isae3402.aspx

FISMA Moderate 

FISMA Moderate
FISMA Moderate 認証は、アメリカ国立標準技術研究所 (NIST) により詳細に規格されたセキュリティ基準にもとづき、広範囲のセキュリティの設定やコントロールについて対応することを要求しています。

すこしわかりづらいですが、米国政府機関のシステムを連邦情報セキュリティマネジメント法(FISMA)に準拠した状態で構築、運用することが可能ということです。オバマのお墨付きです(笑)

PCI DSSレベル1 

PCI DSSレベル1

PCIDSS(Payment Card Industry Data Security Standard)とは、加盟店様・決済代行事業者様が取り扱うカード会員様のクレジットカード情報・お取り引き情報を安全に守るために、*VISA・JCB・MasterCard・American Express・Discover*の国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
AWS は、共有ホスティングプロバイダに関する上記PCI DSS の要件を満たしています。
そのため、AWS 上で自社で構築した部分についてPCIコンプライアンスを構築している限り、クレジットカード情報をクラウドに保存し、処理および送信することができます。

こちらはわかりやすいですね。通販サイトを運営するアマゾンならではの認証です。
PCIDSSと聞くとイメージしづらいですが、VISA・JCBといった名前を聞くとぐっと身近になりますね!

FIPS 140-2 

FIPS 140-2

FIPS 140-2とは、暗号モジュール(暗号処理のためのソフトウエアやハードウエア)に関するセキュリティ要件を規定した米国連邦標準規格です。FIPSとは米国連邦政府における情報処理標準規格のことで、NIST(米国国立標準技術研究所)が発行しています。FIPSには、暗号技術に関するものが複数存在し、そのうちの一つがFIPS 140となります。
最初は重要な情報を守る暗号モジュールのハードウエアに関する要件だけが記述されていましたがハードウエアだけではなく、ソフトウエアに関する要件も規定した「FIPS 140-1」が発表され、現在は訂版に当たる「FIPS 140-2」が利用されています。

参考:http://itpro.nikkeibp.co.jp/word/page/10028248/

ISO27001 /ISMS

ISO27001

ISO27001 /ISMSは、個別の技術対策の他に、マネジメントとして組織自らのリスクアセスメントを行い、必要なセキュリティレベルを決め、プランを持ち、資源配分を行い、システムを運用する、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度です。※国内で、3,806 組織が認定されています。(平成23年5月27日 JIPDEC発表)。

この認証のメリットとしては外部の利害関係者、特に顧客・クライアントから情報セキュリティに関するヒアリングや調査が入った場合に、第三者による認証を提示することで、適切な情報セキュリティ対策を行っているという証明が可能です。

ITAR 

ITAR

ITARとは、International Traffic in Arms Regulations (ITAR)=「武器国際取引に関する規則」のことで、United States Munitions List (USML)=「合衆国武器リスト」に列記された国防関連の物品及び役務の輸出と輸入を規制する合衆国連邦政府の規則のことです。
AWS GovCloudリージョンは、このITAR コンプライアンスをサポートしています。

参考:http://www.legaldocohno.com/itarnituite.html
   http://aws.amazon.com/jp/compliance/

HIPPA 

HIPPA

HIPPAとは、Health Insurance Portability and Accountability Act( 医療保険の相互運用性と説明責任に関する法律)の略で、アメリカの医療機関における患者情報の機密性、統合性、および可用性を維持することを目的に定められた法律です。
HIPPAは患者のプライバシーを守り、個人情報の流失を防ぐためのものです。

日本でいう個人情報保護法ということころでしょうか。
HIPPAは名前や病名、その他の事、情報を流すことは禁止されています。

MPAA

MPAA

アメリカ映画協会(Motion Picture Association of America、MPAA) は、アメリカ合衆国の映画産業の業界団体です。ハリウッドのメジャースタジオなどをメンバーとしています。
MPAAは、保護対象メディアおよびコンテンツを安全に格納、処理、および配信できるように一連のベストプラクティス を確立しました。メディア企業ではこのベストプラクティスを、コンテンツとインフラストラクチャに関するリスクとセキュリティを評価する手段として使用しています。AWS は MPAA のベストプラクティスに準拠していることが実証されており、AWS インフラストラクチャはすべての適用可能な MPAA インフラストラクチャ統制に準拠しています。

参考:http://www.weblio.jp/content/MPAA
   http://aws.amazon.com/jp/compliance/

いかがでしたか?
次回は、FISCについて詳しく調べてみましょう!
お楽しみに!!