AWS リスクとコンプライアンスのホワイトペーパーの概要

• AWSD リスクとコンプライアンスホワイトペーパーは、AWS をお客様が IT 環境をサポートする既存のコントロールフレームワークに統合することを支援する情報を提供することを目的としています。
• AWS は、お客様に関連するセキュリティおよび制御環境を通信します。AWS では、次の操作を行います。
  • 本書に記載されている業界認証および独立した第三者証明の取得
  • ホワイトペーパーおよび Web サイトのコンテンツにおける AWS セキュリティおよびコントロールプラクティスに関する情報の公開
  • NDA (必要に応じて) の下で、証明書、レポート、およびその他のドキュメントを AWS のお客様に直接提供する

責任共有モデル

• 共有責任における　AWS　の役割には次のものが含まれます。
  • 高度にセキュアで制御されたプラットフォームでサービスを提供し、お客様が使用できる幅広いセキュリティ機能を提供
  • お客様の運用上の負担を軽減するため、ホスト・オペレーティング・システムと仮想化層のコンポーネントを管理および制御し、サービスが動作する施設の物理的なセキュリティを確保します。
• お客様の責任
  • IT 環境を目的に応じて安全かつ制御された方法で構成する
  • ゲストオペレーティングシステムの責任と管理 (更新プログラムやセキュリティ修正プログラムを含む)、その他の関連アプリケーションソフトウェア、および AWS が提供するセキュリティグループファイアウォールの構成
  • ホスト・ベースのファイアウォール、ホスト・ベースの侵入検知/防止、暗号化、鍵管理などのテクノロジーを活用することにより、厳格なコンプライアンス要件
  • AWS 環境にデプロイされた物理インフラストラクチャに関連付けられたコントロールを管理することにより、オペレーティング・コントロールの顧客負担を軽減

リスクとコンプライアンスのガバナンス

• AWS は、ホワイトペーパー、レポート、認証、およびその他のサードパーティの証明を通じて、IT 管理環境に関する幅広い情報を顧客に提供します。
• AWS のお客様は、展開方法にかかわらず、IT 管理環境全体にわたって適切なガバナンスを維持し続ける必要があります。
• 主要なプラクティスは、
  • 必要なコンプライアンスの目標と要件の理解 (関連するソースから)
  • これらの目標と要件を満たす制御環境の確立
  • 組織のリスク許容度に基づいて必要な検証の理解
  • 管理環境の運用効果を検証します。
• 強力な顧客コンプライアンスとガバナンスには、次の基本的アプローチが含まれます。
  • AWS から入手可能な情報を他の情報と共に確認し、IT 環境全体をできるだけ多く把握し、すべてのコンプライアンス要件を文書化します。
  • 企業のコンプライアンス要件を満たすために、制御目標を設計および実装します。
  • 外部の第三者が所有するコントロールを識別し、文書化する。
  • すべての制御目標が満たされ、すべてのキーコントロールが効果的に設計および運用されていることを確認します。
• このようにコンプライアンスガバナンスに近づくことで、企業はその制御環境について理解を深め、実行すべき検証活動を明確に把握することができます。

AWS 認定、プログラム、レポート、およびサードパーティの証明

• AWS は、外部認証機関および独立監査人と協力して、AWS によって確立および運用されるポリシー、プロセス、および制御に関するかなりの情報をお客様に提供します。
• AWS は、サードパーティの証明、認定、Service Organization Controls (SOC) レポート、およびその他の関連するコンプライアンスレポートを NDA の下でお客様に直接提供します。

重要なリスクとコンプライアンスに関する質問

• 責任共有
  • AWS は、そのテクノロジの物理コンポーネントを制御します。
  • お客様が所有し、接続ポイントと送信の制御を含むその他すべてのものを管理します。
• IT の監査
  • 物理的なコントロールの上にあるほとんどのレイヤーとコントロールの監査は、依然として顧客の責任です
  • AWS ISO 27001 およびその他の認証は、監査担当者のレビューに使用できます。
  • AWS で定義された論理および物理コントロールは、SOC 1 タイプ II レポートに記載されており、監査およびコンプライアンスチームによるレビューが可能です。
• データの場所
  • AWS のお客様は、データとそのサーバーがどの物理リージョンに配置されるかを制御します。
  • AWS は、リージョン内でのみデータをレプリケートします。
  • AWS は、お客様に通知することなく、お客様のコンテンツを選択したリージョンから移動することはありません。
• データセンターツアー
  • AWS は複数のお客様をホストするため、お客様によるデータセンターツアーを許可していません。
  • 独立した有能な監査人は、SOC 1 タイプ II レポートの一部として、コントロールの存在と操作を検証します。
  • このサードパーティの検証では、お客様がコントロールの有効性を独立した視点で提供します。
  • AWS との非開示契約に署名した AWS のお客様は、SOC 1 タイプ II レポートのコピーをリクエストすることができます。
• サードパーティのアクセス
  • AWS は、内部従業員であってもデータセンターへのアクセスを厳密に制御します。
  • 第三者には、AWS アクセスポリシーに従って適切な AWS データセンターマネージャーから明示的に承認された場合を除いて、AWS データセンターへのアクセスは提供されません
• マルチテナント
  • AWS 環境は、仮想化されたマルチテナント環境です。
  • AWS は、セキュリティ管理プロセス、PCI コントロール、および他の顧客から各顧客を分離するために設計されたその他のセキュリティ制御を実装しています。
  • AWS システムは、仮想化ソフトウェアを使用してフィルタリングすることによって、ユーザーが割り当てられていない物理ホストまたはインスタンスにアクセスできないように設計されています。
• ハイパーバイザーの脆弱性
  • Amazon EC2 は、高度にカスタマイズされた Xen ハイパーバイザーのバージョンを利用します。
  • ハイパーバイザーは、内部および外部の侵入チームによる新規および既存の脆弱性および攻撃ベクタに対して定期的に評価され、ゲスト仮想マシン間の強固な分離を維持するのに適しています。
• 脆弱性管理
  • AWS は、ハイパーバイザーやネットワーキングサービスなど、お客様へのサービスの提供をサポートするシステムのパッチを担当します。
• 暗号化
  • AWS では、S3、EBS、SimpleDB、EC2 など、ほぼすべてのサービスに対して独自の暗号化メカニズムを使用することができます。
  • VPC への IPSec トンネルも暗号化されます。
• データ分離
  • お客様に代わって AWS によって保存されるすべてのデータには、強力なテナント分離のセキュリティと制御機能があります。
• 複合サービス
  • AWS は、サードパーティのクラウドプロバイダを利用して、お客様に AWS サービスを提供することはありません。
• 分散型サービス拒否 (DDoS) 攻撃
  • AWS ネットワークは、従来のネットワークセキュリティの問題に対する重要な保護を提供し、お客様はさらなる保護を実装できます。
• データの移植性
  • AWS では、AWS ストレージのオン/オフを必要に応じてデータを移動できます。
• サービスと顧客プロバイダーのビジネス継続性
  • AWS はビジネス継続性プログラムを運営しています
  • AWS データセンターには、環境リスクに対する物理的な保護が組み込まれています。
  • 環境リスクに対する AWS の物理的な保護は、独立した監査人によって検証され、認定されています。
  • AWS は、マルチリージョン/AZ デプロイメントアーキテクチャ、バックアップ、データ冗長性レプリケーションにより、堅牢な継続性プランを実装する機能をお客様に提供します。
• 拡張する能力
  • AWS クラウドは、お客様に大規模な可能性を提供する、高い安全性と弾力性を分散しています。
  • 顧客は、彼らが使用するものだけのために支払う、スケールアップまたはダウンすることができる
• サービスの可用性
  • AWS は、S3 99.9% などのサービスレベルアグリーメント (SLA) で高レベルの可用性にコミットします。
• アプリケーションのセキュリティ
  • AWS システム開発ライフサイクルには、AWS セキュリティチームによる正式な設計レビュー、ソースコード分析、脅威のモデル化、リスクアセスメントの完了など、業界のベストプラクティスが組み込まれています。
  • AWS は一般的にソフトウェアの開発をアウトソーシングしていません。
• 脅威と脆弱性の管理
  • AWS セキュリティは、独立したセキュリティ企業に定期的に関与し、外部の脆弱性の脅威評価を行う
  • AWS セキュリティは、すべてのインターネットに接続されたサービスエンドポイント IP アドレスを定期的にスキャンしますが、顧客インスタンスは含まれません
  • AWS セキュリティは、特定の脆弱性を修復するために適切な当事者に通知します。
  • 顧客は、お客様のインスタンスに限定され、AWS の使用許諾ポリシーに違反していない限り、クラウドインフラストラクチャのスキャンと侵入テストの実施を許可することができます。 これらのタイプのスキャンの事前承認が必要です

---

AWS認定試験の練習問題

• 質問はインターネットから収集され、答えは自分の知識と理解に基づいてマークされます（これはあなたと異なる場合があります）。
• AWSサービスは毎日更新され、回答と質問はすぐに時代遅れになる可能性がありますので、それに応じて調査してください。
• AWSのアップデートのペースを追うためにAWS試験の質問は更新されないため、基礎となる機能が変更されても質問が更新されないことがあります。
• さらなるフィードバック、ディスカッション、修正を可能にします。

1. AWS 内部に構築されたシステムのコンプライアンス評価を準備する場合。監査を準備するための3つのベストプラクティスを教えてください。3つの回答を選択
   1. IT 運用コントロールの証拠を収集する (お客様は、すべての IT オペレーションコントロールを環境に合わせてインラインで収集する必要があります)
   2. 該当するサードパーティの監査済み AWS コンプライアンスレポートおよび認定を要求および取得する (お客様は、サードパーティの監査担当者が作成したレポートや認証を要求したり、AWS コンプライアンスに関する詳細情報を要求することができます)
   3. 事前評価のセキュリティレビューのために AWS データセンターのコンプライアンスおよびセキュリティツアーをリクエストして入手する (AWS はデータセンターツアーを許可していません)
   4. AWS からの承認を要求して、関連するネットワークスキャンおよびシステムのインスタンスとエンドポイントの詳細な侵入テストを実行する (AWS では、侵入テストを実行するために事前の承認が必要)
   5. AWS の第三者監査役とのミーティングをスケジュールして、お客様の管理目標に対応する AWS コンプライアンスの証拠を提供する (お客様は、当社の第三者監査役が作成したレポートや認証を要求したり、AWS に関する詳細情報を要求することができます。コンプライアンス)
2. 共有セキュリティモデルでは、AWS は次のセキュリティのベストプラクティスを担当します (該当するものをすべて確認してください)。
   1. 侵入テスト
   2. オペレーティングシステムアカウントのセキュリティ管理
   3. 脅威のモデル化
   4. ユーザーグループのアクセス管理
   5. 静的コード分析
3. Elastic Load Balancer（ELB）、Linux / PHP / Apacheを実行するEC2インスタンスの自動スケーリンググループ、RDB（Relational DataBase Service）MySQLで構成された AWS 上で Web アプリケーションを実行しています。 どのセキュリティ対策が AWS の責任に該当しますか？
   1. 最小権限アクセスの原則を適用することにより、迷惑なアクセスから EC2 インスタンスを保護する(顧客が所有)
   2. IP スプーフィングまたはパケットスニッフィングから保護する
   3. EC2 インスタンスと ELB の間のすべての通信が暗号化されていることを保証する (顧客が所有)
   4. ELB、RDS、および EC2 インスタンスに最新のセキュリティパッチをインストールする (顧客が所有)
4. AWS プラットフォームでの PCI 認証の達成について、次のどちらのステートメントが当てはまりますか。(2 を選択)
   1. お客様の組織は、AWS インフラストラクチャ上に置かれたあらゆるものに関連するコンプライアンスイニシアチブを所有しています。
   2. Amazon EC2 インスタンスは、単一テナント環境 (専用インスタンス) で実行する必要があります
   3. AWS がカードホルダー環境を管理
   4. AWS コンプライアンスは、基盤となるインフラストラクチャに関連する保証を提供します。

リファレンス

• リスクとコンプライアンス

---

Jayendra’s Blog

この記事は自己学習用に「AWS Risk and Compliance Whitepaper Overview（Jayendra’s Blogより）」を日本語に訳した記事です。