AWSセキュリティ編~リスクとコンプライアンス編①~


こんにちは!HEROです。

さて、先日AWSパートナーに向けたセミナーがありました。参加したかったのですが、なくなく今回はお留守番…。
しかし、どうやら参加したメンバーによると、セキュリティに対しての回答はここにある!という資料があるとのことで早速調べてみました!
今回からは、このリスクとコンプライアンスについてご紹介して行きたいと思います。

◯リスクとコンプライアンスとは?
AWSのユーザーがIT環境をサポートする既存の統制フレームワークに AWSを統合する際に役立つ情報をまとめたものです。
AWSの統制の評価に関する基本的なアプローチについて説明し、統制環境の統合の際に役立つ情報が網羅されています。

実に70ページ(!?)にもなるボリューム!これはご紹介し甲斐があるってもんです。
冒頭には以前にもご紹介した第三者認証について紹介されています。ぜひこちらをご覧ください!

今回はコンプライアンスに関するよくある質問と、AWSの回答についてですがご紹介します。
ではさっそく中身を見ていきましょう。

◯ユーザーデータはどこにある?
クラウドを利用する上で誰もが思い、感じる疑問ですね。上層部の方は特に気になりますよね。AWSの回答は下記です。

【回答】
データとサーバを配置する物理的なリージョンは、AWS のお客様が指定することになります。
S3データオブジェクトのデータレプリケーションは、データが保存されているリージョン内のクラスタで実行され、他のリージョンの他のデータセンタークラスタにはレプリケートされません。
データとサーバを配置する物理的なリージョンは、AWS のお客様が指定することになります。
AWSは、法令遵守または政府機関の要請によりやむをえない場合を除き、お客様のコンテンツを指定されたリージョンからお客様への通告なしに移動することはありません。
本文書の執筆時点では、リージョンは 9つあります。米国東部 (バージニア北部)、米国西部(オレゴン)、米国西部(北カリフォルニア)、 AWS GovCloud(米国)(オレゴン)、欧州(アイルランド)、アジアパシフィック( シンガポール)、アジアパシフィック(東京)、アジアパシフィック(シドニー)、南米(サンパウロ)です。

世界各地9つのデータセンターから好きな場所を選べる、まさにAWSならではです。それぞれが認証をクリアし、かつ自然災害も考慮されているのですから安心ですね。

◯クラウドプロバイダでは、ユーザーによるデータセンター訪問を許可してる?
これは僕自身もぜひ見てみたいところですが、AWSは甘くありません!AWSの回答を見てみましょう。

【回答】
いいえ。AWS のデータセンターでは複数のお客様をホストしており、幅広いお客様を第三者の物理的アクセスにさらすことになるという理由から、お客様によるデータセンター訪問を許可していません。
このようなお客様のニーズを満たすために、SOC 1 Type II レポート(SSAE 16)の一環として、独立し、資格を持つ監査人が統制の存在と運用について検証を行っています。
この広く受け入れられているサードパーティによる検証によって、お客様は実施されている統制の有効性について独立した観点を得ることができます。
AWS と機密保持契約を結んでいる AWS のお客様は、SOC 1 Type II レポートのコピーを要求できます。
データセンターの物理セキュリティの独立した見直しは、ISO 27001 監査、PCI 評価、ITAR 監査、および FISMA テストプログラムにも含まれています。

以前にもご紹介しましたが、外観もそれとはわからないようになっています。この徹底がユーザーにとっては直接信頼に繋がりますね。

◯ユーザー同士の分離は安全に実施されている?
AWSでは現在、通販のAmazon.comが年商70億ドルの際に必要だったサーバー量を毎日追加しています。
この事実にも驚きですが、これだけの大量のサーバーがあって他のユーザーと混ざってしまわないのか?アクセスされないのか?当然の疑問です。

【回答】
AWS 環境は仮想化されたマルチテナント環境です。
AWS は、お客様間を他のお客様から隔離するように設計されたセキュリティ管理プロセス、PCI 統制などのセキュリティ統制を実施しています。
AWS システムは、仮想化ソフトウェアによるフィルタ処理によって、お客様に割り当てられていない物理ホストや物理インスタンスにアクセスできないように設計されています。
このアーキテクチャは、独立した PCI Qualified Security Assessor(QSA)による検証を受け、2010 年 10 月に発行された PCI DSS バージョン 2.0 のすべての要件に準拠しているという結果が出ています。

ちなみにQSAとはPCI国際協議会によって認定された審査機関のことです。
日本国内でも2009年2月の時点で10社以上が登録されています。

いかがでしたでしょうか?
リスクとコンプライアンス編まだまだ今回は序の口の序の口です!
次回も今回はコンプライアンスに関するよくある質問と、AWSの回答についてご紹介します!
お楽しみに!