AWSが取得している 
第三者認証について 
株式会社サーバーワークス 
⼩小室 ⽂文 
1から学ぶクラウドのセキュリティ勉強会@北北九州 
【JAWS-­‐UG 
北北九州・福岡合同】 
h*p://jaws-­‐kitaq.doorkeep...
⼩小室 ⽂文 
! 株式会社サーバーワークス 
! 福岡オフィス AWS事業部 セールスチーム 
! ソリューションアーキテクト 
! 経歴 
! 飲⾷食会社の開発エンジニア 
! Webマーケティングの開発/インフラエンジニア 
! ソーシャ...
AWS 
保証プログラム 
! HIPAA 
! SOC 
1/SSAE 
16/ISAE 
3402(旧称 SAS70) 
! SOC 
2 
! SOC 
3 
! PCI 
DSS 
レベル 1 
! ISO 
27001 
! FedR...
HIPAA 
! 呼び⽅方: 
ヒパッ 
! U.S. 
Health 
Insurance 
Portability 
and 
Accountability 
Act 
! 医療療保険の携⾏行行性と責任に関する法律律(1996年年) 
! ...
SOC 
1/SSAE 
16/ISAE 
3402 
! 呼び⽅方: 
ソックワン 
! Service 
Organizaon 
Controls 
1, 
Type 
II 
! ⽶米国公認会計⼠士協会(AICPA)の信⽤用提供原則(Tr...
SOC 
2 
! 呼び⽅方: 
ソックツー 
! Service 
Organizaon 
Controls 
2, 
Type 
II 
! ⽶米国公認会計⼠士協会(AICPA)の信⽤用提供原則(Trust 
Services 
Princ...
SOC3 
! 呼び⽅方: 
ソックスリー 
! Service 
Organizaon 
Controls 
3 
! AWS 
SOC 
2 
レポートを⼀一般公開⽤用に要約したもの 
! AICPA 
SysTrust 
セキュリティシー...
PCI 
DSS 
レベル 1 
! 呼び⽅方: 
ピーシーアイディーエスエスレベルワン 
! Payment 
Card 
Industry(PCI)データセキュリティ基 
準(Data 
Security 
Standard/DSS)レベル...
ISO 
27001 
! 呼び⽅方: 
アイエスオーニマンナナセンイチ 
! Internaonal 
Organizaon 
for 
Standardizaon(ISO) 
27001 
! セキュリティに関する標準規格 
! 情報セキュ...
FedRAMP 
(SM) 
! 呼び⽅方:フェドランプ 
! Federal 
Risk 
and 
Authorizaon 
Management 
Program 
(FedRAMP) Moderate 
影響レベル 
! ⽶米国政府全体...
DIACAP 
および FISMA 
! 呼び⽅方: 
? 
! DoD 
Informaon 
Assurance 
Cerficaon 
and 
Accreditaon 
Process(DIACAP) 
! 国防省省 
United 
...
ITAR 
! 呼び⽅方: 
アイター 
! U.S. 
Internaonal 
Traffic 
in 
Arms 
Regulaons 
! 武器国際取引に関する規則 
! United 
States 
Munions 
List 
(...
FIPS 
140-­‐2 
! 呼び⽅方: 
フィップス 
! Federal 
Informaon 
Processing 
Standard(FIPS) 
Publicaon 
140-­‐2 
! 暗号モジュールに関するセキュリティ要件...
CSA 
! 呼び⽅方: 
シーエスエー 
! Cloud 
Security 
Alliance 
! クラウドプロバイダ内でのセキュリティ業務の透明性を 
推進し、セキュリティ管理理作業を⽂文書化する 
! クラウドの利利⽤用者やクラウド監...
MAPP 
! 呼び⽅方:? 
! Moon 
Picture 
Associaon 
of 
America 
! ⽶米国映画協会 
! 保護対象のメディアやコンテンツを安全に保存、処 
理理、 および配信するための⼀一連のベストプラク 
テ...
Upcoming SlideShare
Loading in …5
×

2014/08/23 JAWSUG北九州福岡 AWSが取得している第三者認証について

4,166 views

Published on

http://jaws-kitaq.doorkeeper.jp/events/13701
1から学ぶクラウドのセキュリティ勉強会@北九州【JAWS-UG 北九州・福岡合同】
で発表した資料です

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,166
On SlideShare
0
From Embeds
0
Number of Embeds
2,913
Actions
Shares
0
Downloads
11
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

2014/08/23 JAWSUG北九州福岡 AWSが取得している第三者認証について

  1. 1. AWSが取得している 第三者認証について 株式会社サーバーワークス ⼩小室 ⽂文 1から学ぶクラウドのセキュリティ勉強会@北北九州 【JAWS-­‐UG 北北九州・福岡合同】 h*p://jaws-­‐kitaq.doorkeeper.jp/events/13701
  2. 2. ⼩小室 ⽂文 ! 株式会社サーバーワークス ! 福岡オフィス AWS事業部 セールスチーム ! ソリューションアーキテクト ! 経歴 ! 飲⾷食会社の開発エンジニア ! Webマーケティングの開発/インフラエンジニア ! ソーシャルゲーム開発エンジニア ! AWS Samurai 2014 ! 好きなAWSサービス ! IAM ( Identity and Access Management ) ! Route53
  3. 3. AWS 保証プログラム ! HIPAA ! SOC 1/SSAE 16/ISAE 3402(旧称 SAS70) ! SOC 2 ! SOC 3 ! PCI DSS レベル 1 ! ISO 27001 ! FedRAMP(SM) ! DIACAP および FISMA ! ITAR ! FIPS 140-­‐2 ! CSA ! MPAA h*p://aws.amazon.com/jp/compliance/ h*p://bit.ly/1BBrTBg
  4. 4. HIPAA ! 呼び⽅方: ヒパッ ! U.S. Health Insurance Portability and Accountability Act ! 医療療保険の携⾏行行性と責任に関する法律律(1996年年) ! 健康情報に関するプライバシールール/セキュリティ ルール ! 保健情報を電⼦子フォームで送信する保健計画、保健医療療 提供者、保健医療療クリアリングハウスに適応される ! ヘルス情報を処理理、管理理、保管出来る h*p://www.mhlw.go.jp/shingi/2010/06/dl/s0616-­‐4g.pdf h*p://www.hhs.gov/ocr/privacy/
  5. 5. SOC 1/SSAE 16/ISAE 3402 ! 呼び⽅方: ソックワン ! Service Organizaon Controls 1, Type II ! ⽶米国公認会計⼠士協会(AICPA)の信⽤用提供原則(Trust Services Principles)で定義している基準に準拠している ! サービス受託会社の統制活動に関する保証報告 ! Statement on Standards for A*estaon Engagements No.16(USA基準) ! Internaonal Standard on Assurance Engagements No.3402(国際基準) ! 委託会社の財務諸表に関するリスクに対して財務諸 表監査 h*p://giolog.iij.ad.jp/2012/10/24/7169/
  6. 6. SOC 2 ! 呼び⽅方: ソックツー ! Service Organizaon Controls 2, Type II ! ⽶米国公認会計⼠士協会(AICPA)の信⽤用提供原則(Trust Services Principles)で定義している基準に準拠している ! AT Secon 101, A*est Engagements – AICPA (USA基準) ! 可⽤用性、機密性、セキュリティ、プライバシー、完 全性をリスクとしコンプライアンスまたはオペレー ションに関連する内部統制の報告 h*p://giolog.iij.ad.jp/2012/10/24/7169/
  7. 7. SOC3 ! 呼び⽅方: ソックスリー ! Service Organizaon Controls 3 ! AWS SOC 2 レポートを⼀一般公開⽤用に要約したもの ! AICPA SysTrust セキュリティシールを掲⽰示する事が可能 ! 管理理の操作の外部監査⼈人の意⾒見見、制御の有効性に関 する AWS マネージメントからの表明、AWS インフ ラストラクチャおよびサービスの概要が含まれます。 h*p://giolog.iij.ad.jp/2012/10/24/7169/
  8. 8. PCI DSS レベル 1 ! 呼び⽅方: ピーシーアイディーエスエスレベルワン ! Payment Card Industry(PCI)データセキュリティ基 準(Data Security Standard/DSS)レベル 1 ! PCI Security Standards Council が定義した情報セキュリ ティ標準 ! クレジットカード情報を保管、処理理、送信を⾏行行える 認証 ! レベル1:年年間 30万件以上/ レベル2:年年間 30万件未満
  9. 9. ISO 27001 ! 呼び⽅方: アイエスオーニマンナナセンイチ ! Internaonal Organizaon for Standardizaon(ISO) 27001 ! セキュリティに関する標準規格 ! 情報セキュリティ管理理システムの要件の枠組み定義と、 定期的なリスク評価に基づき、会社およびその顧客の情 報を体系的に管理理する⼿手法 ! 情報の機密性(C:Confidenality)・完全性 (I:Integrity)・可⽤用性(A:Availability)の3つを管理理、 運⽤用する。ISMSと呼ばれる
  10. 10. FedRAMP (SM) ! 呼び⽅方:フェドランプ ! Federal Risk and Authorizaon Management Program (FedRAMP) Moderate 影響レベル ! ⽶米国政府全体のプログラム ! クラウド製品およびサービス向けのセキュリティ評価、 認証、継続的な監視に関する標準化されたアプローチを 提供するもの ! FedRAMP Compliant Cloud Service Provider(CSP ! FedRAMP 準拠クラウドサービスプロバイダ
  11. 11. DIACAP および FISMA ! 呼び⽅方: ? ! DoD Informaon Assurance Cerficaon and Accreditaon Process(DIACAP) ! 国防省省 United States Department of Defense(DoD) ! 呼び⽅方: フィズマ ! Federal Informaon Security Management Act/FISMA ! 連邦情報セキュリティマネジメント法 ! 各連邦政府機関とその外部委託先に対して、情報および 情報システムのセキュリティを強化するためのプログラ ムを開発、⽂文書化、実践することを義務化した法律律
  12. 12. ITAR ! 呼び⽅方: アイター ! U.S. Internaonal Traffic in Arms Regulaons ! 武器国際取引に関する規則 ! United States Munions List (USML)=「合衆国武器リスト」 に列列記された国防関連の物品及び役務の輸出と輸⼊入を規 制する合衆国連邦政府の規則 ! ITAR 輸出規制の対象となる企業は、保護された データへのアクセスを⽶米国⼈人に制限し、およびその データの物理理的なロケーションを⽶米国の⼟土地に制限 することによって、意図しない輸出を制御 h*ps://www.pmddtc.state.gov/regulaons_laws/itar.html h*p://www.legaldocohno.com/itarnituite.html
  13. 13. FIPS 140-­‐2 ! 呼び⽅方: フィップス ! Federal Informaon Processing Standard(FIPS) Publicaon 140-­‐2 ! 暗号モジュールに関するセキュリティ要件の仕様を規定 する⽶米国連邦標準規格 ! Department of Commerce/Naonal Instute of Standards and Technology(商務省省/国⽴立立標準化技術研究所) ! FIPS 140-­‐2 は2001年年に改訂/FIPS 140⾃自体は1982年年に 制定された(当時はハードに限定) h*p://csrc.nist.gov/groups/STM/cmvp/standards.html h*p://dev.sbins.co.jp/cryptography/CMVP03.html
  14. 14. CSA ! 呼び⽅方: シーエスエー ! Cloud Security Alliance ! クラウドプロバイダ内でのセキュリティ業務の透明性を 推進し、セキュリティ管理理作業を⽂文書化する ! クラウドの利利⽤用者やクラウド監査担当者の視点から クラウドプロバイダーに尋ねる140 項⽬目を超える質 問表が公開されている h*ps://cloudsecurityalliance.org/
  15. 15. MAPP ! 呼び⽅方:? ! Moon Picture Associaon of America ! ⽶米国映画協会 ! 保護対象のメディアやコンテンツを安全に保存、処 理理、 および配信するための⼀一連のベストプラク ティスを公表しておりAWSは準拠している

×