コンプライアンス検証
サードパーティーの監査者は、複数の AWS コンプライアンスプログラムの一部として AWS のサービスのセキュリティとコンプライアンスを評価します。これらのプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。
AWS Security Incident Response は、前述のプログラムへの準拠について評価されていません。
特定のコンプライアンスプログラムの範囲内の AWS サービスのリストについては、「コンプライアンスプログラムによる AWS 対象範囲内のサービス
サードパーティーの監査報告書は、AWS アーティファクトを使用してダウンロードすることができます。詳細については、「AWS Artifact のレポートのダウンロード」を参照してください。
AWS のサービスの使用時におけるユーザーのコンプライアンス責任は、データの機密性、企業のコンプライアンス目的、適用法と規制に応じて異なります。AWS は、コンプライアンスに役立つ以下のリソースを提供しています。
-
セキュリティとコンプライアンスのクイックスタートガイド
– これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに焦点を当てたベースライン環境を AWS にデプロイするための手順を示します。 -
HIPAA のセキュリティとコンプライアンスのアーキテクチャの設計に関するホワイトペーパー – このホワイトペーパーは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。
-
AWS コンプライアンスのリソース
- お客様の業界および/または場所に適用されるワークブックとガイドのコレクション。 -
AWS Config デベロッパーガイドの「Evaluating resources with AWS Config Rules」 – AWS Config は、リソースの設定が社内慣行、業界のガイドライン、および規制にどの程度適合しているかを評価します。
-
AWS セキュリティハブ – この AWS サービスは、AWS 内のセキュリティ状態に関する包括的なビューを提供します。Security Hub では、セキュリティコントロールを使用して AWS リソースを評価し、セキュリティ業界標準とベストプラクティスに対するコンプライアンスをチェックします。サポートされているサービスとコントロールの一覧については、Security Hub のコントロールリファレンスを参照してください。
-
Amazon GuardDuty – この AWS サービスは、環境をモニタリングして、疑わしいアクティビティや悪意のあるアクティビティがないか調べることで、AWS アカウント、ワークロード、コンテナ、データに対する潜在的な脅威を検出します。GuardDuty を使用すると、特定のコンプライアンスフレームワークで義務付けられている侵入検知要件を満たすことで、PCI DSS などのさまざまなコンプライアンス要件に対応できます。
-
AWSAudit Manager– この AWS サービスでは、AWS の使用状況を継続的に監査し、リスクの管理方法と、規制や業界標準へのコンプライアンスの管理方法を簡素化できます。
