SOC 2 - AWS Audit Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SOC 2

SOC 2 は、企業のデータが安全に管理されるようにするための監査手順です。AWS Audit Manager は、監査の準備を支援する SOC 2 をサポートする構築済みのフレームワークを提供します。

SOC 2 とは

米国公認会計士協会 (AICPA) によって定められた System and Organization Controls (SOC) は、監査中に生成された一連のレポートの名前です。これは、サービス組織 (情報システムをサービスとして他の組織に提供する組織) によって、自社のサービスのユーザーに当該情報システムに対する内部統制の検証済みレポートを発行するために使用されることが企図されています。レポートは、Trust Service Principles として知られる 5 つのカテゴリにグループ化されたコントロールに焦点を当てています。

AWS SOC レポートは、重要なコンプライアンス管理および目標を AWS がどのように達成したかを実証する、独立したサードパーティーによる審査報告書です。このレポートの目的は、オペレーションとコンプライアンスをサポートするよう確立された AWS による統制を、ユーザーおよびユーザーの監査人が容易に把握できるようにすることです。5 つの AWS SOC レポートがあります。

  • AWS SOC 1 レポート (AWS Artifact からの AWS のお客様にご利用いただけます)。

  • AWS SOC 2 Security, Availability & Confidentiality Report (AWS Artifact からの AWS のお客様にご利用いただけます)。

  • AWS SOC 2 Security, Availability & Confidentiality Report (AWS Artifact からの AWS のお客様にご利用いただけます。対象には Amazon DocumentDB のみが含まれます)。

  • AWS SOC 2 Privacy Type I Report (AWS Artifact からの AWS のお客様にご利用いただけます)。

  • AWS SOC 3 Security, Availability & Confidentiality Report (ホワイトペーパーとして発行されています)。

監査の準備をサポートするためにこのフレームワークを使用する

このフレームワークを使用すると、監査の準備をすることができます。このフレームワークには、説明とテスト手順を含む、構築済みのコントロールのコレクションが含まれています。これらの制御は、SOC 2 要件に従って制御セットにグループ化されます。このフレームワークとそのコントロールをカスタマイズして、特定の要件を満たす必要がある内部監査をサポートすることもできます。

このフレームワークを出発点として使用して Audit Manager 評価を作成し、監査に関連する証拠の収集を開始できます。評価を作成すると、Audit Manager が AWS リソースの評価を開始します。これはフレームワークで定義されているコントロールに基づいて行われます。監査の時間になると、ユーザー (または任意の受任者) は、Audit Manager で収集された証拠を確認できます。評価の証拠フォルダを参照するか、評価レポートに含める証拠を選択できます。または、エビデンスファインダーを有効にした場合は、特定のエビデンスを検索して CSV 形式でエクスポートしたり、検索結果から評価レポートを作成できます。どの場合でも、この評価レポートは、コントロールが意図したとおりに機能していることを実証するのに役立ちます。

このフレームワークの詳細は以下のとおりです:

AWS Audit Manager でのフレームワーク名 自動化されたコントロールの数 手動コントロールの数 コントロールセットの数 範囲内の AWS のサービス
SOC 2 20 41 20
  • Amazon Elastic Compute Cloud

  • AWS Auto Scaling

  • AWS CloudTrail

  • AWS Config

  • AWS Identity and Access Management

  • AWS Security Hub

ヒント

この標準フレームワークでデータソースマッピングとして使用される AWS Config ルールを確認するには、AuditManager_ConfigDataSourceMappings_SOC2.zip ファイルをダウンロードしてください。

この AWS Audit Manager フレームワークのコントロールは、システムがコンプライアンスに準拠しているかどうかを確認するためのものではない。さらに、これらのコントロールは、評価に合格することを保証することはできません。AWS Audit Manager は、手動証拠収集を必要とする手続き型コントロールを自動的にチェックしません。

このフレームワークは、Audit Manager の フレームワークのライブラリ[Standard frameworks] (標準フレームワーク) タブにあります。

このフレームワークを使用して評価を作成する方法については、「評価の作成」を参照してください。

Audit Manager コンソールを使用して標準フレームワークから評価を作成する場合、範囲内の AWS のサービス のサービスのリストはデフォルトで選択されており、編集できません。これは、Audit Manager がデータソースとサービスを自動的にマッピングして選択するためです。この選択は、SOC 2 の要件に従って行われます。このフレームワークの対象となるサービスのリストを編集する必要がある場合は、CreateAssessment または UpdateAssessment API オペレーションを使用して編集できます。または、標準フレームワークをカスタマイズしてから、カスタムフレームワークから評価を作成することもできます。

特定の要件をサポートするためにこのフレームワークをカスタマイズする方法については、「既存のフレームワークのカスタマイズ」および「既存のコントロールのカスタマイズ」を参照してください。

SOC 2 に関するその他のリソース