Amazon CloudFront のコンプライアンス検証

サードパーティーの監査者は、さまざまな AWS コンプライアンスプログラムの一環として Amazon CloudFront のセキュリティとコンプライアンスを評価します。このプログラムには、SOC、PCI、HIPAA などが含まれます。

特定のコンプライアンスプログラムの対象範囲に含まれる AWS のサービスのリストについては、「コンプライアンスプログラムによる対象範囲内の AWS のサービス」を参照してください。一般的な情報については、「AWS コンプライアンスプログラム」を参照してください。

AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、「AWS Artifact にレポートをダウンロードする」を参照してください。

CloudFront を使用する際のコンプライアンス責任は、データの機密性、企業のコンプライアンス目標、適用法規や規則によって決まります。AWS ではコンプライアンスに役立つ以下のリソースを用意しています。

• セキュリティおよびコンプライアンスのクイックスタートガイド - これらのデプロイメントガイドでは、アーキテクチャー上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境を AWS にデプロイするための手順を説明します。

• AWS での HIPAA のセキュリティとコンプライアンスの設計 - このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明しています。

  AWS HIPAA コンプライアンスプログラムには、HIPAA 対応サービスとして CloudFront (CloudFront Embedded POP によるコンテンツ配信を除く) が含まれています。AWS と事業提携契約 (BAA) を締結している場合は、CloudFront (CloudFront Embedded POP によるコンテンツ配信を除く) を使用して保護医療情報 (PHI) を含むコンテンツを迅速に提供できます。詳細については、「HIPAA コンプライアンス」を参照してください。

• AWS コンプライアンスのリソース - このワークブックとガイドのコレクションは、お客様の業界や所在地に適用される場合があります。

• AWS Config - この AWS のサービスでは、自社プラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を評価します。

• AWS Security Hub – この AWS のサービスは、セキュリティコントロールを使用してリソース設定とセキュリティ標準を評価し、お客様がさまざまなコンプライアンスフレームワークに準拠できるようサポートします。Security Hub を使用して CloudFront リソースを評価する方法の詳細については、「AWS Security Hub ユーザーガイド」の「Amazon CloudFront コントロール」を参照してください。

CloudFront コンプライアンスのベストプラクティス

このセクションでは、Amazon CloudFront を使用してコンテンツを配信するときのコンプライアンスに関するベストプラクティスと推奨事項について説明します。

AWS 責任共有モデルに基づいて PCI 準拠または HIPAA 準拠ワークロードを実行する場合は、将来の監査目的のために過去 365 日間の CloudFront 使用状況データのログを記録することをお勧めします。使用状況データを記録するには、以下の操作を実行できます。

• CloudFront アクセスログを有効にする 詳細については、「標準ログ (アクセスログ) の設定および使用」を参照してください。

• CloudFront API に送信されるリクエストを取得します。詳細については、「AWS CloudTrail を使用した Amazon CloudFront API コールのログ記録」を参照してください。

また、CloudFront がどのように PCI DSS、および SOC の基準に準拠しているかの詳細については、以下を参照してください。

Payment Card Industry Data Security Standard (PCI DSS)

CloudFront (CloudFront Embedded POP によるコンテンツ配信を除く) は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、伝送をサポートしており、ペイメントカード業界データセキュリティ基準 (PCI DSS) への準拠が検証済みです。PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。

セキュリティを確保するためのベストプラクティスとして、CloudFront エッジキャッシュにクレジットカード情報を入れないことをお勧めします。たとえば、クレジットカード番号の末尾 4 桁の数字やカード所有者の連絡先情報などのクレジットカード情報が含まれている Cache-Control:no-cache="field-name" ヘッダーをレスポンスに含めるようにオリジンを設定できます。

System and Organization Controls (SOC)

CloudFront (CloudFront Embedded POP によるコンテンツ配信を除く) は、SOC 1、SOC 2、SOC 3 などのシステムおよび組織管理 (SOC) 対策に準拠しています。SOC レポートは、重要なコンプライアンス管理および目標を AWS がどのように達成したかを実証する、独立したサードパーティーによる審査報告書です。これらの監査によって、お客様のデータや企業データのセキュリティ、機密保持、アベイラビリティーに影響を及ぼす可能性のあるリスクから守るために、適切な安全策と手順を講じます。これらサードパーティー監査の結果は、 AWS SOC コンプライアンスのウェブサイトで参照できます。このサイトでは、AWS の業務とコンプライアンスをサポートするために制定された統制についてさらに詳しく知ることのできる発行済みレポートを公開しています。