AWSセキュリティ編~リスクとコンプライアンス編③~

Pocket

こんにちは!HEROです。
さて今回も引き続きリスクとコンプライアンスの内容についてご紹介します!

◯リスクとコンプライアンスとは?
※ こちらは以前ご紹介させていただきましたが、改めて確認しておきましょう!

リスクとコンプライアンスとはAWSのユーザーがIT環境をサポートする既存の統制フレームワークに AWSを統合する際に役立つ情報をまとめたものです。
AWSの統制の評価に関する基本的なアプローチについて説明し、統制環境の統合の際に役立つ情報が網羅されています。

今回はについてクラウドセキュリティアライアンスについてご紹介します!

◯クラウドセキュリティアライアンスとは?
クラウドセキュリティアライアンス(Cloud Security Alliance/CSA)は、「クラウドコンピューティングにおけるのセキュリティ保証を提供するためのベストプラクティスの利用を促進し、クラウドコンピューティングの使用に関する教育を提供することで、あらゆる形式のコンピューティングの保護を支援する目的を持った非営利組織」です。
ソリューションプロバイダには富士通さんやgoogle、Citrix、アクセンチュアさんなどがいるようですね。
2008年にクラウドセキュリティについて注目され、クラウドセキュリティアライアンスの概念が生まれました。また、2011年の時点で8300人もの個人会員がいたようです。

さらにCSAではクラウドの利用者に対してCSAが想定している質問が用意されています。
セキュリティ、統制、およびプロセスに関する一連の質問も記載されており、この質問はセキュリティの評価など、幅広い用途に使用できます。AWSはこの質問に対し、回答しています。

では記載内容を見ていきましょう。

◯各業界で用いられる認定やレポートなどの関連する文書を提供できるか?

1

AWSではセキュリティに関する多くの認定や証明を取得しているのは今までもご紹介しましたが一部の文書をNDAを締結することで受け取ることができます。

◯内部監査を定期的に実行しているか、またその結果を必要に応じて利用できるか?

2

こちらは以前にもご紹介した第三者認証、SOC1に関するレポートですね。こちらもNDAベースで開示がされているようです。

いかがでしたでしょうか?
次回も引き続き、リスクとコンプライアンス編と題してクラウドセキュリティアライアンスについてご紹介します!
お楽しみに!