OPS01-BP04 コンプライアンス要件を評価する

規制、業界、および社内のコンプライアンス要件は、組織の優先順位を定義するための重要な推進要素です。コンプライアンスフレームワークによって、特定の技術や地理的場所を使用できない場合もあります。外部コンプライアンスフレームワークが特定されない場合は、デューデリジェンスを適用します。コンプライアンスを検証する監査またはレポートを作成します。

自社製品が特定のコンプライアンス基準を満たしていることを宣伝する場合、継続的なコンプライアンスを確保するための内部プロセスが必要です。コンプライアンス標準の例としては、PCI DSS、FedRAMP、HIPAA があります。適用されるコンプライアンス標準は、ソリューションが保存または送信するデータの種類、ソリューションがサポートするリージョンなど、さまざまな要因によって決まります。

期待される成果:

• 規制、業界、および社内のコンプライアンス要件がアーキテクチャの選択に組み込まれています。

• コンプライアンスを検証して監査レポートを作成できます。

一般的なアンチパターン:

• ワークロードの一部が、クレジットカード業界のデータセキュリティ基準 (PCI DSS) フレームワークの対象となっているが、ワークロードはクレジットカードデータを暗号化せずに保存している。

• ソフトウェア開発者とアーキテクトが、組織が遵守すべきコンプライアンスフレームワークに気付いていない。

• 年次の Systems and Organizations Control (SOC2) Type II 監査が近く行われるが、コントロールが配置されていることを検証できない。

このベストプラクティスを活用するメリット:

• ワークロードに適用されるコンプライアンス要件を評価し、理解することで、ビジネス価値を実現するためにどのような優先順位で注力すべきかを知ることができます。

• コンプライアンスフレームワークに合致する適切な場所や技術を選択します。

• 可監査性を持たせてワークロードを設計すると、コンプライアンスフレームワークを遵守していることを証明できます。

このベストプラクティスが確立されていない場合のリスクレベル: 高

実装のガイダンス

このベストプラクティスを実装することで、コンプライアンス要件をアーキテクチャ設計プロセスに組み込みます。チームメンバーは必要なコンプライアンスフレームワークを認識します。フレームワークに沿ってコンプライアンスを検証します。

お客様事例

AnyCompany Retail は、顧客のクレジットカード情報を保存しています。カードストレージチームの開発者は、PCI-DSS フレームワークに準拠する必要があることを理解しています。クレジットカード情報が PCI-DSS フレームワークに沿って安全に保存およびアクセスされていることを検証する手順を踏んできています。毎年、セキュリティチームと協力して、コンプライアンスを検証しています。

実装手順

1. セキュリティチームやガバナンスチームと協力して、ワークロードが準拠しなければならない業界、規制、組織内部のコンプライアンスフレームワークを精査します。コンプライアンスフレームワークをワークロードに組み込みます。

   1. AWS Compute Optimizer や AWS Security Hub などのサービスを使用して、AWS のリソースの継続的なコンプライアンスを検証します。

2. チームメンバーがコンプライアンス要件に沿ってワークロードを運用および進化できるように、コンプライアンス要件を教育します。コンプライアンス要件は、アーキテクチャや技術を選択する際に含める必要があります。

3. コンプライアンスフレームワークによっては、監査またはコンプライアンスレポートを作成する必要があります。組織と協力して、このプロセスをできるだけ自動化します。

   1. AWS Audit Manager のようなサービスを使用して、コンプライアンスを検証し、監査レポートを作成します。

   2. AWS Artifact を使用して AWS のセキュリティとコンプライアンスに関するドキュメントをダウンロードできます。

実装計画に必要な工数レベル: 中。コンプライアンスフレームワークの実装は課題が多い場合があります。監査レポートやコンプライアンスドキュメントを作成するとさらに複雑になります。

リソース

関連するベストプラクティス:

• SEC01-BP03 管理目標を特定および検証する - セキュリティ管理目標は、コンプライアンス全体における重要な部分です。

• SEC01-BP06 パイプラインのセキュリティコントロールのテストと検証を自動化する - パイプラインの一部として、セキュリティ管理を検証します。新しい変更に関するコンプライアンスドキュメントを作成することもできます。

• SEC07-BP02 データ保護コントロールを定義する - 多くのコンプライアンスフレームワークは、データ処理およびストレージに関するポリシーベースです。

• SEC10-BP03 フォレンジック機能を備える - フォレンジック機能は、監査のコンプライアンスで使用できることがあります。

関連するドキュメント:

• AWS Compliance Center (AWS コンプライアンスセンター)

• AWS のコンプライアンスのリソース

• AWS Risk and Compliance Whitepaper (Amazon Web Services リスクとコンプライアンスホワイトペーパー)

• AWS 責任共有モデル

• コンプライアンスプログラムによる対象範囲内の AWS のサービス

関連動画:

• AWS re:Invent 2020: Achieve compliance as code using AWS Compute Optimizer(AWS re:Invent 2020: AWS Config を使用してコードとしてのコンプライアンスを実現する)

• AWS re:Invent 2021 - Cloud compliance, assurance, and auditing (AWS re:Invent 2021 - クラウドのコンプライアンス、保証、監査)

• AWS Summit ATL 2022 - Implementing compliance, assurance, and auditing on AWS (COP202) (AWS Summit ATL 2022 - AWS におけるコンプライアンス、保証、監査の実装 (COP202))

関連する例:

• AWS での PCI DSS および AWS Foundational Security Best Practices

関連サービス:

• AWS Artifact

• AWS Audit Manager

• AWS Compute Optimizer

• AWS Security Hub