AWS Secrets Manager のコンプライアンス検証

Secrets Manager を使用する際のコンプライアンス責任は、データの機密性、企業のコンプライアンス目標、適用法規や規則によって決まります。AWS ではコンプライアンスに役立つ以下のリソースを用意しています。

• 「セキュリティとコンプライアンスのクイックスタートガイド」「」 – これらのデプロイガイドには、アーキテクチャ上の考慮事項の説明と、AWS でセキュリティとコンプライアンスに重点を置いたベースライン環境をデプロイするためのステップが記載されています。

• HIPAA セキュリティおよびコンプライアンスホワイトペーパーのアーキテクチャの設計 - このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。

• 「AWS コンプライアンスのリソース」「」- このワークブックおよびガイドのコレクションは、ユーザーの業界や地域で適用される場合があります。

• AWS Config では、自社プラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態が評価されます。詳しくは、「AWS Config を使用して、AWS Secrets Manager シークレットのコンプライアンスを監査する」を参照してください。

• AWS Security Hub – このサービスでは、AWS 内のセキュリティ状態を包括的に表示しており、セキュリティ業界の標準およびベストプラクティスへの準拠を確認するのに役立ちます。Security Hub を使用して Secrets Manager リソースを評価する方法の詳細については、「AWS Security Hub ユーザーガイド」の「AWS Secrets Manager コントロール」を参照してください。

• IAM アクセスアナライザーは、外部エンティティにシークレットへのアクセスを許可するポリシー (ポリシー内の条件ステートメントを含む) を分析します。詳細については、「アクセスアナライザーを使用したアクセスのプレビュー」を参照してください。

• AWS Systems Manager には、Secrets Manager の定義済みのランブックが用意されています。詳細については、「シークレットマネージャーの、Systems Manager Automation ランブックリファレンス」を参照してください。

• AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、「AWS Artifact でレポートをダウンロードする」「」を参照してください。

コンプライアンス標準

AWS Secrets Manager は、以下の標準について監査済みであり、コンプライアンスの認定を取得する必要がある場合にはソリューションの一部となります。

• HIPAA – AWS は、医療保険の相互運用性と説明責任に関する法令 (HIPAA) コンプライアンスプログラムを拡張し、HIPAA 対応サービスとして AWS Secrets Manager を含めています。AWS と事業提携契約 (BAA) を締結している場合は、Secrets Manager を使用して、HIPAA 準拠アプリケーションを構築できます。AWS は、AWS を活用してヘルス情報を処理および保存する方法を詳しく知りたいとお考えのお客様向けに、HIPAA に焦点を当てたホワイトペーパーを提供しています。詳細については、「HIPAA コンプライアンス」を参照してください。

• PCI 加盟組織 – AWS Secrets Manager は、クレジットカード業界 (PCI) のデータセキュリティ標準 (DSS) バージョン 3.2、サービスプロバイダーレベル 1 で準拠証明書を取得しています。AWS の製品やサービスを使用してカード所有者のデータを保存、処理、転送するユーザーは、各自の PCI DSS 準拠認定の管理に AWS Secrets Manager を使用できます。PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。

• ISO – AWS Secrets Manager は、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、ISO 9001 のコンプライアンス認証を正常に取得しました。詳細については、「ISO 27001」､「ISO 27017」､「ISO 27018」､および「ISO 9001」を参照してください。

• AICPA SOC – System and Organization Control (SOC) レポートとは、重要なコンプライアンスの統制および目標を Secrets Manager がどのように達成したかを実証する、サードパーティーによる独立した審査報告書です。このレポートの目的は、オペレーションとコンプライアンスをサポートするよう確立された AWS 統制を、ユーザーおよびユーザーの監査人が容易に把握できるようにすることです。詳細については、「SOC Compliance」(SOC コンプライアンス) を参照してください。

• FedRAMP – Federal Risk and Authorization Management Program (FedRAMP) は政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認可、および継続的なモニタリングに関する標準化されたアプローチを提供しています。また、FedRAMP プログラムは、East/West と GovCloud のサービスおよびリージョン向けに、政府のデータや規制されたデータを消費するための暫定認証も提供します。詳細については、「 FedRAMP への準拠」を参照してください。

• 国防総省 – 米国防総省 (DoD) クラウドコンピューティングセキュリティ要求事項ガイド (SRG) には、クラウドサービスプロバイダー (CSP) が DoD の暫定認可を取得して DoD ユーザーへのサービス提供を可能にする、標準化された評価と認可プロセスが規定されています。詳細については、DoD SRG リソースを参照してください。

• IRAP – オーストラリア政府のお客様は、情報セキュリティ登録評価プログラム (IRAP) を使用して、適切な制御が行われていることを検証し、オーストラリアサイバーセキュリティセンター (ACSC) が作成したオーストラリア政府情報セキュリティマニュアル (ISM) の要件に対応する適切な責任モデルを決定することができます。詳細については、IRAP リソースを参照してください。

• OSPAR – Amazon Web Services (AWS) は、アウトソーシングサービスプロバイダーの監査レポート (OSPAR) の認証を取得しました。AWS は、シンガポール銀行協会 (ABS) のアウトソーシングサービスプロバイダーの統制目標と手順に関するガイドライン (ABS ガイドライン) に準拠しています。このことは、シンガポールの金融サービス業界が定めるクラウドサービスプロバイダーに対する高い期待にも応えるという、AWS の取り組みをお客様に示すものとなっています。リソースの詳細については、OSPAR リソースを参照してください。