コンプライアンス

AWS Compliance を使用すると、お客様は AWS クラウド内でセキュリティとデータ保護を維持するために AWS に導入されている堅牢なコントロールについて理解できます。システムが AWS クラウド内で構築されると、AWS とお客様はコンプライアンスの責任を共有します。AWS のコンピューティング環境は、SOC 1/SSAE 16/ISAE 3402 (旧 SAS 70)、SOC 2、SOC 3、ISO 9001/ISO 27001、FedRAMP、DoD SRG、PCI DSS レベル 1.i など、地域や業種にまたがる認定機関からの認定を受けて、継続的に監査されています。さらに、AWS には、お客様が AWS で実行する環境のコンプライアンスを確立するのに役立つテンプレートとコントロールマッピングを提供する保証プログラムもあります。プログラムの一覧については、「AWS コンプライアンスプログラム」を参照してください。

AWS のすべてのサービスが GDPR に準拠して使用できます。つまりお客様は、サービスのセキュリティ維持のために AWS が既に実施しているすべての対策からメリットを享受するだけでなく、お客様の GDPR コンプライアンス計画の一部として AWS のサービスをデプロイできます。AWS は、GDPR に準拠したデータ処理補遺条項 (GDPR DPA) を規定しており、お客様が GDPR 契約の義務に準拠できるようにしています。AWS GDPR DPA は、AWS のサービス規約に組み込まれており、GDPR 準拠のためにこれを必要とする世界中のすべてのお客様に自動的に適用されます。Amazon.com, Inc. は、EU-US Privacy Shield の認定を受けており、AWS はこの認定の対象となります。このため、お客様が個人データを米国に転送してデータ保護義務を果たす際に役立ちます。Amazon.com Inc. の認定については、EU-US Privacy Shield のウェブサイト (https://www.privacyshield.gov/list) で確認できます。

認定された環境でオペレーションを行うことで、お客様は実行する必要がある監査の範囲とコストを縮小できます。AWS は基盤となるインフラストラクチャの評価を継続的に実行しています。この評価には、ハードウェアとデータセンターの物理的および環境的セキュリティも含まれます。したがって、お客様はこれらの認定を活用して、これらのコントロールを継承するだけでよいのです。

従来のデータセンターでは、一般的なコンプライアンス業務が手作業での定期的な業務になっていることがよくあります。これらの業務には、アセット設定の検証や管理業務に関するレポートが含まれます。さらに、結果のレポートは、発行前には既に最新ではない場合があります。AWS 環境でオペレーションを行うことで、AWS Security Hub、AWS Config、AWS CloudTrail など組み込みの自動化ツールを利用して、コンプライアンスを検証できます。これらのツールにより、監査を実行するために必要な作業量が削減されます。このような作業が定期的となり、継続的なタスクとして自動化されるようになるためです。手動の業務に費やす時間を減らすことで、企業におけるコンプラアンスの役割を、必要とされる管理負担の 1 つから、リスクを管理してセキュリティ体制を強化するための役割へと進化させることができるのです。