のコンプライアンス検証 AWS Secrets Manager

Secrets Manager を使用する際のお客様のコンプライアンス責任は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。 は、コンプライアンスに役立つ以下のリソース AWS を提供します。

• 「セキュリティ＆コンプライアンスクイックリファレンスガイド」 – これらのデプロイガイドには、アーキテクチャ上の考慮事項の説明と、 AWSでセキュリティとコンプライアンスに重点を置いたベースライン環境をデプロイするための手順が記載されています。

• 「Architecting for HIPAA Security and Compliance」ホワイトペーパー – このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。

• AWS コンプライアンスリソース – このワークブックとガイドのコレクションは、お客様の業界や地域に適用される場合があります。

• AWS Config では、自社プラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態が評価されます。詳細については、「AWS Config を使用して、AWS Secrets Manager シークレットのコンプライアンスを監査する」を参照してください。

• AWS Security Hub CSPM では、 内のセキュリティ状態を包括的に把握 AWS できるため、セキュリティ業界標準とベストプラクティスへの準拠を確認できます。Security Hub CSPM を使用して Secrets Manager リソースを評価する方法については、AWS Security Hub CSPM 「 ユーザーガイド」のAWS Secrets Manager 「 コントロール」を参照してください。

• IAM アクセスアナライザーは、外部エンティティにシークレットへのアクセスを許可するポリシー (ポリシー内の条件ステートメントを含む) を分析します。詳細については、「アクセスアナライザーを使用したアクセスのプレビュー」を参照してください。

• AWS Systems Manager には、Secrets Manager の定義済みのランブックが用意されています。詳細については、「シークレットマネージャーの、Systems Manager Automation ランブックリファレンス」を参照してください。

• を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、「Downloading Reports in AWS Artifact」を参照してください。

コンプライアンス標準

AWS Secrets Manager は、以下の規格の監査を受けており、コンプライアンス認定を取得する必要がある場合はソリューションの一部になる可能性があります。

• HIPAA – AWS は、医療保険の相互運用性と説明責任に関する法律 (HIPAA) コンプライアンスプログラムを拡張し、HIPAA 対象サービス AWS Secrets Manager として を含めました。と事業提携契約 (BAA) を締結している場合は AWS、Secrets Manager を使用して HIPAA 準拠のアプリケーションを構築できます。 は、医療情報の処理と保存 AWS に を活用する方法について詳しく知りたいお客様向けに HIPAA に焦点を当てたホワイトペーパー AWS を提供しています。詳細については、「HIPAA コンプライアンス」を参照してください。

• PCI 参加組織 – サービスプロバイダーレベル 1 で、PCI (Payment Card Industry) データセキュリティ標準 (DSS) バージョン 3.2 への準拠証明書 AWS Secrets Manager を取得しています。 AWS 製品やサービスを使用してカード所有者データを保存、処理、または送信するお客様は、独自の PCI DSS コンプライアンス証明書を管理する AWS Secrets Manager 際に を使用できます。PCI コンプライアンスパッケージのコピーをリクエストする方法など、 AWS PCI DSS の詳細については、「PCI DSS レベル 1」を参照してください。

• ISO – ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、および ISO 9001 のコンプライアンス認定を正常に完了 AWS Secrets Manager しました。詳細については、「ISO 27001」､「ISO 27017」､「ISO 27018」､および「ISO 9001」を参照してください。

• AICPA SOC – System and Organization Control (SOC) レポートとは、重要なコンプライアンスの統制および目標を Secrets Manager がどのように達成したかを実証する、サードパーティーによる独立した審査報告書です。これらのレポートの目的は、運用とコンプライアンスをサポートするために確立された AWS コントロールをユーザーと監査人が理解できるようにすることです。詳細については、「SOC Compliance」(SOC コンプライアンス) を参照してください。

• FedRAMP – Federal Risk and Authorization Management Program (FedRAMP) は政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認可、および継続的なモニタリングに関する標準化されたアプローチを提供しています。また、FedRAMP プログラムは、East/West と GovCloud のサービスおよびリージョン向けに、政府のデータや規制されたデータを消費するための暫定認証も提供します。詳細については、「 FedRAMP への準拠」を参照してください。

• 国防総省 – 米国防総省 (DoD) クラウドコンピューティングセキュリティ要求事項ガイド (SRG) には、クラウドサービスプロバイダー (CSP) が DoD の暫定認可を取得して DoD ユーザーへのサービス提供を可能にする、標準化された評価と認可プロセスが規定されています。詳細については、DoD SRG リソースを参照してください。

• IRAP – オーストラリア政府のお客様は、情報セキュリティ登録評価プログラム (IRAP) を使用して、適切な制御が行われていることを検証し、オーストラリアサイバーセキュリティセンター (ACSC) が作成したオーストラリア政府情報セキュリティマニュアル (ISM) の要件に対応する適切な責任モデルを決定することができます。詳細については、IRAP リソースを参照してください。

• OSPAR – アマゾン ウェブ サービス (AWS) は、シンガポール銀行協会 (ABS) の「アウトソースサービスプロバイダーの統制目標と手順に関するガイドライン」 (ABS ガイドライン) との AWS 整合性により、シンガポールの金融サービス業界が設定したクラウドサービスプロバイダーの高い期待を満たすことをお客様に AWS 約束しました。リソースの詳細については、OSPAR リソースを参照してください。