[レポート]AWSコンプライアンス・プログラムの紹介 – AWS Security Roadshow Japan 2020 #awscloud #AWSSecurityRoadshow

AWS Security Roadshow Japan 2020で行われた「AWSコンプライアンス・プログラムの紹介」のレポートです
2020.10.28

こんにちは、臼田です。

本日はAWS Security Roadshow Japan 2020で行われた以下の講演のレポートです。

金融 コンプライアンスセッション

「AWSコンプライアンス・プログラムの紹介」

高野 敦史

(アマゾン ウェブ サービス ジャパン株式会社 金融事業開発本部 コンプライアンス スペシャリスト)

レポート

  • お伝えしたいこと2つ
    • AWSのコンプライアンス・プログラムの概要
      • 規制があったりコンプライアンス関連の課題がある
      • これらがブロッカーになっていくことを排除していくことが大事
      • AWSコンプライアンス・プログラムがどういうことをやっているのか説明
    • AWSの規制、ガイドライン等への対応
      • FISCの安全対策基準第9版へのAWSの対応について
  • 自己紹介
    • 高野 敦史氏
      • メガバンクでシステム開発や導入
      • 米系の監査法人でシステム監査、内部統制評価、SOCレポート発行業務など
      • 直近では米系コンサルティングファームでセキュリティやリスクのコンサルティング
  • コンプライアンススペシャリストの役割
    • クラウド導入を検討したときに社内からクラウド大丈夫かという声が上がってくる
    • エグゼクティブや外部監査人に対して妥当性や適切性を説明する必要がある
    • そういった場面で必要な情報を提供する役割
    • もう一つは企業が海外でAWSを使っていくときにその国の規制がどうなっているのかを把握する必要がある
    • 海外での規制動向などの情報も提供

AWSのコンプライアンス・プログラムの概要

  •  AWSコンプライアンス・プログラム
    • 金融機関によるクラウド利用の考慮点
      • コンプライアンス
        • 規制要件を知る必要がある
        • 業種(銀行、保険、証券など)でも規制が異なる
      • 組織・ガバナンス
        • クラウドのリスク管理が必要
      • コミュニケーション
        • 規制当局との対話
        • 説明責任がある
        • 社内外のステークホルダーへの説明など
  • レジリエンシーに配慮されたインフラ設計
    • AWSでもレジリエンシーに配慮している
    • 24のリージョン76のAZがあるなどもそうだが
    • AZの中にデータセンターがある
    • AWSのデータセンターにはお客様の大事なデータがあるので簡単に開示はできない
    • 代わりにAWSのデータセンターの第三者認証を受けている
    • 評価や監査を受けている
    • ユーザーは結果のレポートを取得して、監査の代わりとする
  • AWS責任共有モデル
    • ユーザーの責任とAWSの責任がある
    • 責任共有モデル適用の考え方
      • お客様のクラウド管理・評価項目
        • ユーザーによってはFISC安全対策基準をそのまま使っていることもあれば、別のものを使う場合もある
        • そのなかではAWSが担うところとユーザーが担う部分がある
        • それぞれ色分けして管理してみる
        • AWSが担う部分は第三者のレポートを使って埋めていく
  • 充実した国際的認証と評価レポート
    • SOCレポートを始めとして色々提供している
  • 日本ではFISCや米国だとFFIECなどを使ってクラウドを評価しているお客様がいる
  • レポートの入手方法
    • AWS Artifactというサービスで探してダウンロード
    • SOCレポートは年に2回リリースしている
    • 定期的に見てもらうといい
  • FISC安全対策基準: 外部委託先へのシステム監査対応
    • 安全対策基準にかかれている
    • 例えば監査基準のシステム監査では第三者の報告書を利用して対応することが紹介されている
  • FISCへの準拠についてAWSのFISCのページで紹介している
    • 最新版は第9版の改訂版
    • 誰でもダウンロードできるので確認してほしい
  • AWSのFISC安全対策基準への継続的な対応
    • FISC有識者検討会等への委員としての参画
    • 情報開示やリファレンスドキュメントの提供
  • 各国におけるコンプライアンス準拠状況の可視化
    • 各国の規制状況を提供
    • 現在57カ国の情報を提供(拡大中)
    • 誰が当局なのか
    • どのようにクラウドを使っていいか
    • 規制当局への事前通知が必要か
    • データの国外持ち出しが可能か
    • などなど確認できる

AWSの規制、ガイドライン等への対応

  • FISCのガイドラインの「FISC安全対策基準・解説書(第9版改訂)に関するAWSの情報」の中身について
  • 統制基準、実務基準、監査基準についてAWSがどういう対応をしているかが説明されている
  • 細かい話
    • FISC項番との突き合わせがしてある(著作権の問題があるので直接FISCの基準は記載されていない)
    • 主担当としてAWSかお客様かどちらが責任を持つのか、両方なのかが書かれている
    • AWSの対応状況や参照先が書かれている
    • お客様が実施する際の参考情報もある

まとめ

  • コンプライアンス・プログラムの概要
    • ブロッカーになるものを排除するための情報をAWSとして提供している
    • あるいはコンプライアンススペシャリストから提供する
  • AWSの規制、ガイドライン等への対応
    • AWSのホワイトペーパーやArtifactなどを活用してほしい

感想

AWSから提供されているコンプライアンスの情報はたくさんあるので、どんどん活用していきたいですね。

FISCの安全対策基準のリファレンスなどは特に詳細に解説されていますので、自分たちでどこまでやらないといけないかを確認するときに非常に有用です。まずはダウンロードしましょう!