AWS ArtifactからドイツBSIのC5のコンプライアンスレポートをAWS管理コンソールから取得する

クラウドコンピューティングコンプライアンスコントロールカタログ (C5)とは

クラウドコンピューティングコンプライアンスコントロールカタログ (C5) は、連邦情報セキュリティ庁 (Bundesamt für Sicherheit in der Informationstechnik/BSI) によってドイツで導入されたドイツ政府の認証スキームです。 実態は IT 基本保護法 (IT-Grundschutz)にクラウド固有の要件を追加したものです。

2016年2月に制定され、2016年5月にはパブリッククラウド上でドイツの官公庁向けシステムを構築する際には、クラウドがこの認証を取得していることが必須となりました。

なお、AWS は C5 認定を取得した最初のクラウドプロバイダーです。

AWS Artifact とは

AWS Artifact はオンデマンドアクセスのための監査およびコンプライアンスポータルで、AWS のコンプライアンスレポートをダウンロードし、特定の契約を管理できます。

例えば、現時点では、以下のコンプライアンス・セキュリティのアーティファクトをダウンロード可能です。

• APRA CPG 234 Workbook
• Cloud Computing Compliance Controls Catalogue (C5)
• FedRAMP Partner Package
• Global Financial Services Regulatory Principles
• HKMA TM-G-1 Workbook
• IRAP Package
• ISO 27001:2013 Certification
• ISO 27001:2013 Statement of Applicability (SoA)
• ISO 27017:2015 Certification
• ISO 27017:2015 Statement of Applicability (SoA)
• ISO 27018:2014 Certification
• ISO 27018:2015 Statement of Applicability (SoA)
• ISO 9001:2015 Certification
• MAS TRM Guidelines Workbook
• MTCS Certification and Self-Disclosure Form
• PCI DSS Attestation of Compliance (AOC) and Responsibility Summary - Current
• PCI DSS Attestation of Compliance (AOC) and Responsibility Summary - Previous
• PSN Connection Compliance Certificate (CoCo)
• PSN Service Provision Compliance Certificate
• Quality Management System Overview
• Service Organization Controls (SOC) 1 Report - Current
• Service Organization Controls (SOC) 1 Report - Previous (Apr 1 - Sep 30)
• Service Organization Controls (SOC) 1 Report - Previous (Oct 1-March 31)
• Service Organization Controls (SOC) 2 Report - Current
• Service Organization Controls (SOC) 2 Report - Previous (Apr 1 - Sep 30)
• Service Organization Controls (SOC) 2 Report - Previous (Oct 1-March 31)
• Service Organization Controls (SOC) 3 Report - Current
• SOC Continued Operations Letter
• Studio Security Controls for VFX/Rendering
• Voluntary Product Accessibility Template (VPAT)

AWS Artifact は re:invent 2016 でひっそりと発表され、1年たった今も、ひっそりと管理コンソールの片隅に佇んでいます。

AWS Artifactからコンプライアンスレポートを取得する

それでは AWS Artifact を利用し、管理コンソール(AMC)からBSI C5のコンプライアンスレポートを取得する方法をさらいます。

監査人にアーティファクトを共有するユースケースを想定し、特定のレポートのみアクセス可能な監査専用の IAM ユーザーを作成し、AMC の Amazon Artifact 画面から BSI C5 レポートをダウンロードします。

1. IAM ユーザーの作成

AMC の IAM 画面から IAM ユーザーを作成します。 ユーザー作成時には "Access type" の "AWS Management Console access" をチェックし、 AMC からログイン可能できるようにします。

2. IAM ユーザーに IAM ポリシーを設定

BSI C5 レポートをダウンロード出来るようにします。

Resource を "arn:aws:artifact:::report-package/*" とすれば、全レポートをダウンロードできます。 今回は、ダウンロード可能なレポートを C5 に限定するため、以下の様になっています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifact:Get"
            ],
            "Resource": [
                "arn:aws:artifact:::report-package/Certifications and Attestations/C5/*"

            ]
        }
    ]
}

3. AWS Artifact から BSI C5 レポートを取得

作成した IAM ユーザーのクレデンシャルで AMC にログインします。 その後 AWS Artifact に移動します。

"Reports" → "Cloud Computing Compliance Controls Catalogue (C5)" に対して "Get this artifact" ボタンをクリックします。

アーティファクト利用に対する terms and conditions が表示されるため、内容を確認の上、同意の場合はチェックボックスをクリックし、"Accept and download" ボタンをクリックします。

程なくアーティファクトのダウンロードが始まります。

なお、レポートは何度でも取得可能です。

4. レポートを閲覧

アーティファクトはウォーターマークが付与された NDA の PDF と、それに添付された PDF レポートで構成されています。

Chrome や Mac の Preview アプリでは PDF の添付ファイルを閲覧出来ません。

そのため Adobe Acrobat reader などを利用して閲覧下さい。

まとめ

時間や手間がかかりがちなコンプライアンスレポートが、AWS Artifact を活用することで AWS 管理コンソールからオンデマンドで取得できるようのは大きなメリットです。

アーティファクトは、ダウンロード時に固有のウォーターマークとともに特定の個人に対して生成され、信頼できる個人にのみ共有する必要があります。

アーティファクトを複数人に共有する場合は、今回紹介したように、IAM ユーザー・グループに対してアクセス権限を制御して共有するようにお願いします。

参照

• C5 Standard - Amazon Web Services (AWS)
• BSI - Compliance Controls Catalogue (C5)
• EU Compliance Update | AWS Security Blog
• What Is AWS Artifact? - AWS Artifact