AWS Cloud9 のコンプライアンス検証
サードパーティーの監査者は、複数の AWS コンプライアンスプログラムの一部として AWS のサービスのセキュリティとコンプライアンスを評価します。
AWS Cloud9 は次のコンプライアンスプログラムの範囲内です。
AWS System and Organization Controls (SOC) レポートは、重要なコンプライアンスの統制および目標を AWS がどのように達成しているかを実証する、独立した第三者による審査報告書です。
サービス |
SDK |
|
|---|---|---|
|
AWS Cloud9 |
cloud9 |
✓ |
Payment Card Industry Data Security Standard (PCI DSS) は、PCI Security Standards Council によって管理される機密情報のセキュリティ標準であり、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc により創設されました。
サービス |
SDK |
|
|---|---|---|
|
AWS Cloud9 |
cloud9 |
✓ |
Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認証、および継続的なモニタリングに関する標準アプローチを提供しています。
FedRAMP による評価および認可を受けているサービスのステータスは、次のとおりです。
第三者評価機関 (3PAO) の評価: このサービスは現在、第三者評価機関による評価を受けています。
共同承認委員会 (JAB) による審査: このサービスは、現在、JAB による審査を受けているところです。
サービス |
SDK |
||
|---|---|---|---|
|
AWS Cloud9 |
cloud9 |
JAB による審査 |
該当なし |
米国防総省 (DoD) クラウドコンピューティングセキュリティ要求事項ガイド (SRG) には、クラウドサービスプロバイダー (CSP) が DoD の暫定認証を取得して DoD ユーザーへのサービス提供を可能にする、標準化された評価と承認プロセスが規定されています。
DoD CC SRG の評価および承認を受けているサービスのステータスは、次のとおりです。
第三者評価機関 (3PAO) の評価: このサービスは現在、第三者評価機関による評価を受けています。
共同承認委員会 (JAB) による審査: このサービスは、現在、JAB による審査を受けているところです。
アメリカ国防情報システム局 (DISA) による審査: このサービスは、現在、DISA による審査を受けているところです。
サービス |
SDK |
|||||
|---|---|---|---|---|---|---|
|
AWS Cloud9 |
cloud9 |
JAB による審査 |
該当なし |
該当なし |
該当なし |
該当なし |
1996 年の医療保険の相互運用性と説明責任に関する法令 (HIPAA) は、患者の同意や認識なく機密性の高い患者の健康情報が開示されないようにするための国家基準の作成を義務付けた連邦法です。
AWS は、HIPAA の対象となる事業体とその従業員が、保護された医療情報 (PHI) を安全に処理、保存、転送できるようにします。さらに、2013 年 7 月現在、AWS はそのような顧客に対して、標準化された事業提携契約 (BAA) を提供しています
サービス |
SDK |
|
|---|---|---|
|
AWS Cloud9 |
cloud9 |
✓ |
オーストラリア政府のお客様は、情報セキュリティ登録評価プログラム (IRAP) を使用して、適切な制御が行われていることを検証し、オーストラリアサイバーセキュリティセンター (ACSC) が作成したオーストラリア政府情報セキュリティマニュアル (ISM) の要件に対応する適切な責任モデルを決定することができます。
サービス |
名前空間* |
|
|---|---|---|
|
AWS Cloud9 |
cloud9 |
✓ |
*名前空間は、AWS 環境全体のサービスを識別するのに役立ちます。例えば、IAM ポリシーを作成するときは、Amazon リソースネーム (ARN) を使用し、AWS CloudTrail ログを参照します。
Cloud Computing Compliance Controls Catalog (C5) は、ドイツ連邦情報セキュリティ局 (BSI) がドイツで導入したドイツ政府支援の証明スキームで、ドイツ政府の「クラウドプロバイダーに対するセキュリティに関するレコメンデーション」内でクラウドサービスを使用するときに、組織が一般的なサイバー攻撃に対する運用上のセキュリティを実証できるようにします。
サービス |
SDK |
|
|---|---|---|
|
AWS Cloud9 |
cloud9 |
✓ |
FINMA はスイスの独立した金融市場の規制機関です。アマゾン ウェブ サービス (AWS) は、FINMA ISAE 3000 タイプ 2 レポートを完了しました。
サービス |
SDK |
|
|---|---|---|
|
AWS Cloud9 |
cloud9 |
✓ |
GSM 協会は、世界中のモバイルネットワーク事業者の利益を代表する業界団体です。アマゾン ウェブ サービス (AWS) の欧州 (パリ) および米国東部 (オハイオ) リージョンは、現在、GSM 協会 (GSMA) によってセキュリティ認定スキームサブスクリプション管理 (SAS-SM) のデータセンター運用管理 (DCOM) の範囲において認定を受けています。このように GSMA の要件に合致していることは、クラウドサービスプロバイダーに対する高い期待事項を満たすという AWS の継続的なコミットメントを示しています。
サービス |
||
|---|---|---|
|
AWS Cloud9 |
✓ |
✓ |
AWS が PiTuKri の要件に合致していることは、フィンランドの運輸通信局である Traficom によって設定された、クラウドサービスプロバイダーに対する高い期待事項を満たす継続的なコミットメントを示しています。
サービス |
SDK |
|
|---|---|---|
|
AWS Cloud9 |
cloud9 |
✓ |
AWS のサービス が特定のコンプライアンスプログラムの対象であるかどうかを確認するには、「コンプライアンスプログラムによる対象範囲内の AWS のサービス のサービス
AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、「AWS Artifact におけるダウンロードレポート」を参照してください。
AWS のサービス を使用する際のユーザーのコンプライアンス責任は、ユーザーのデータの機密性や貴社のコンプライアンス目的、適用される法律および規制によって決まります。AWS では、コンプライアンスに役立つ次のリソースを提供しています。
-
セキュリティとコンプライアンスのクイックスタートガイド
— これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境を AWS にデプロイするためのステップを示します。 -
「Amazon Web Services での HIPAA のセキュリティとコンプライアンスのためのアーキテクチャ」 – このホワイトペーパーは、企業が AWS を使用して HIPAA 対象アプリケーションを作成する方法を説明しています。
注記
すべての AWS のサービス が HIPAA 適格であるわけではありません。詳細については、「HIPAA 対応サービスのリファレンス
」を参照してください。 AWS コンプライアンスのリソース
– このワークブックおよびガイドのコレクションは、顧客の業界と拠点に適用されるものである場合があります。 AWS Config デベロッパーガイドのルールでのリソースの評価 - AWS Config サービスでは、自社のプラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を評価します。
-
AWS Security Hub – この AWS のサービス は、AWS 内のセキュリティ状態の包括的なビューを提供します。Security Hub では、セキュリティコントロールを使用して AWS リソースを評価し、セキュリティ業界標準とベストプラクティスに対するコンプライアンスをチェックします。サポートされているサービスとコントロールのリストについては、「Security Hub のコントロールリファレンス」を参照してください。
-
AWS Audit Manager - この AWS のサービス は AWS の使用状況を継続的に監査し、リスクの管理方法やコンプライアンスを業界スタンダードへの準拠を簡素化するために役立ちます。
