http://jaws-kitaq.doorkeeper.jp/events/13701 １から学ぶクラウドのセキュリティ勉強会＠北九州【JAWS-UG 北九州・福岡合同】 で発表した資料です

1. AWSが取得している
第三者認証について
株式会社サーバーワークス
⼩小室 ⽂文
１から学ぶクラウドのセキュリティ勉強会＠北北九州
【JAWS-­‐UG
北北九州・福岡合同】
h*p://jaws-­‐kitaq.doorkeeper.jp/events/13701

2. ⼩小室 ⽂文
! 株式会社サーバーワークス
! 福岡オフィス AWS事業部 セールスチーム
! ソリューションアーキテクト
! 経歴
! 飲⾷食会社の開発エンジニア
! Webマーケティングの開発/インフラエンジニア
! ソーシャルゲーム開発エンジニア
! AWS Samurai 2014
! 好きなAWSサービス
! IAM ( Identity and Access Management )
! Route53

3. AWS
保証プログラム
! HIPAA
! SOC
1/SSAE
16/ISAE
3402（旧称 SAS70）
! SOC
2
! SOC
3
! PCI
DSS
レベル 1
! ISO
27001
! FedRAMP（SM)
! DIACAP
および FISMA
! ITAR
! FIPS
140-­‐2
! CSA
! MPAA
h*p://aws.amazon.com/jp/compliance/
h*p://bit.ly/1BBrTBg

4. HIPAA
! 呼び⽅方:
ヒパッ
! U.S.
Health
Insurance
Portability
and
Accountability
Act
! 医療療保険の携⾏行行性と責任に関する法律律(1996年年）
! 健康情報に関するプライバシールール/セキュリティ
ルール
! 保健情報を電⼦子フォームで送信する保健計画、保健医療療
提供者、保健医療療クリアリングハウスに適応される
! ヘルス情報を処理理、管理理、保管出来る
h*p://www.mhlw.go.jp/shingi/2010/06/dl/s0616-­‐4g.pdf
h*p://www.hhs.gov/ocr/privacy/

5. SOC
1/SSAE
16/ISAE
3402
! 呼び⽅方:
ソックワン
! Service
Organizaon
Controls
1,
Type
II
! ⽶米国公認会計⼠士協会(AICPA)の信⽤用提供原則(Trust
Services
Principles)で定義している基準に準拠している
! サービス受託会社の統制活動に関する保証報告
! Statement
on
Standards
for
A*estaon
Engagements
No.16(USA基準）
! Internaonal
Standard
on
Assurance
Engagements
No.3402(国際基準)
! 委託会社の財務諸表に関するリスクに対して財務諸
表監査
h*p://giolog.iij.ad.jp/2012/10/24/7169/

6. SOC
2
! 呼び⽅方:
ソックツー
! Service
Organizaon
Controls
2,
Type
II
! ⽶米国公認会計⼠士協会(AICPA)の信⽤用提供原則(Trust
Services
Principles)で定義している基準に準拠している
! AT
Secon
101,
A*est
Engagements
–
AICPA
(USA基準)
! 可⽤用性、機密性、セキュリティ、プライバシー、完
全性をリスクとしコンプライアンスまたはオペレー
ションに関連する内部統制の報告
h*p://giolog.iij.ad.jp/2012/10/24/7169/

7. SOC3
! 呼び⽅方:
ソックスリー
! Service
Organizaon
Controls
3
! AWS
SOC
2
レポートを⼀一般公開⽤用に要約したもの
! AICPA
SysTrust
セキュリティシールを掲⽰示する事が可能
! 管理理の操作の外部監査⼈人の意⾒見見、制御の有効性に関
する AWS
マネージメントからの表明、AWS
インフ
ラストラクチャおよびサービスの概要が含まれます。
h*p://giolog.iij.ad.jp/2012/10/24/7169/

8. PCI
DSS
レベル 1
! 呼び⽅方:
ピーシーアイディーエスエスレベルワン
! Payment
Card
Industry（PCI）データセキュリティ基
準（Data
Security
Standard/DSS）レベル 1
! PCI
Security
Standards
Council
が定義した情報セキュリ
ティ標準
! クレジットカード情報を保管、処理理、送信を⾏行行える
認証
! レベル1:年年間 30万件以上/
レベル2:年年間 30万件未満

9. ISO
27001
! 呼び⽅方:
アイエスオーニマンナナセンイチ
! Internaonal
Organizaon
for
Standardizaon（ISO）
27001
! セキュリティに関する標準規格
! 情報セキュリティ管理理システムの要件の枠組み定義と、
定期的なリスク評価に基づき、会社およびその顧客の情
報を体系的に管理理する⼿手法
! 情報の機密性（C:Confidenality）・完全性
（I:Integrity）・可⽤用性（A:Availability）の3つを管理理、
運⽤用する。ISMSと呼ばれる

10. FedRAMP
(SM)
! 呼び⽅方：フェドランプ
! Federal
Risk
and
Authorizaon
Management
Program
(FedRAMP） Moderate
影響レベル
! ⽶米国政府全体のプログラム
! クラウド製品およびサービス向けのセキュリティ評価、
認証、継続的な監視に関する標準化されたアプローチを
提供するもの
!
FedRAMP
Compliant
Cloud
Service
Provider（CSP
! FedRAMP
準拠クラウドサービスプロバイダ

11. DIACAP
および FISMA
! 呼び⽅方:
?
! DoD
Informaon
Assurance
Cerficaon
and
Accreditaon
Process（DIACAP）
! 国防省省
United
States
Department
of
Defense(DoD)
! 呼び⽅方:
フィズマ
! Federal
Informaon
Security
Management
Act/FISMA
! 連邦情報セキュリティマネジメント法
! 各連邦政府機関とその外部委託先に対して、情報および
情報システムのセキュリティを強化するためのプログラ
ムを開発、⽂文書化、実践することを義務化した法律律

12. ITAR
! 呼び⽅方:
アイター
! U.S.
Internaonal
Traffic
in
Arms
Regulaons
! 武器国際取引に関する規則
! United
States
Munions
List
(USML)=「合衆国武器リスト」
に列列記された国防関連の物品及び役務の輸出と輸⼊入を規
制する合衆国連邦政府の規則
! ITAR
輸出規制の対象となる企業は、保護された
データへのアクセスを⽶米国⼈人に制限し、およびその
データの物理理的なロケーションを⽶米国の⼟土地に制限
することによって、意図しない輸出を制御
h*ps://www.pmddtc.state.gov/regulaons_laws/itar.html
h*p://www.legaldocohno.com/itarnituite.html

13. FIPS
140-­‐2
! 呼び⽅方:
フィップス
! Federal
Informaon
Processing
Standard（FIPS）
Publicaon
140-­‐2
! 暗号モジュールに関するセキュリティ要件の仕様を規定
する⽶米国連邦標準規格
! Department
of
Commerce/Naonal
Instute
of
Standards
and
Technology(商務省省/国⽴立立標準化技術研究所)
! FIPS
140-­‐2
は2001年年に改訂/FIPS
140⾃自体は1982年年に
制定された（当時はハードに限定）
h*p://csrc.nist.gov/groups/STM/cmvp/standards.html
h*p://dev.sbins.co.jp/cryptography/CMVP03.html

14. CSA
! 呼び⽅方:
シーエスエー
! Cloud
Security
Alliance
! クラウドプロバイダ内でのセキュリティ業務の透明性を
推進し、セキュリティ管理理作業を⽂文書化する
! クラウドの利利⽤用者やクラウド監査担当者の視点から
クラウドプロバイダーに尋ねる140
項⽬目を超える質
問表が公開されている
h*ps://cloudsecurityalliance.org/

15. MAPP
! 呼び⽅方：？
! Moon
Picture
Associaon
of
America
! ⽶米国映画協会
! 保護対象のメディアやコンテンツを安全に保存、処
理理、 および配信するための⼀一連のベストプラク
ティスを公表しておりAWSは準拠している