AWSが取得している第三者証明書について

AWSのセキュリティで欠かす事が出来ないのは第三者証明書ですが、略語になっていてこれなんだろう!?と思う事がよくあります。日本の法律ではない事もあり、余計セキュリティはどうなっているのか分かりにくくしているのではないでしょうか。

概要として調べてみたので紹介します。

[]

SAS70 Type II

  • 米国監査基準書70号 => 外部委託をする場合に米国監査に提出する事が出来る
  • SAS70報告書にはType IとType IIの2種類がある
  • Type Iは委託業務に関する内部統制の整備状況について、Type IIはそれに加えて所定の期間を通じての内部統制の運用状況の有効性の評価を行う
  • 日本でも同様の基準として日本公認会計士協会の監査基準委員会報告書第18号「委託業務に係る統制リスクの評価」(通称「18号監査」)
  • Type II報告書の内容が適切でないと監査人が判断した場合には、委託先への直接監査を行うことがあり得る => これは結構重要事項では?
  • 報告書の内容が適切と監査人が判断した場合に初めて、委託業務についての統制リスクを中位もしくは低位であると評価できる

日本版SOX法に必要なセキュリティポリシーとは? - @IT情報マネジメント

クラウド・コンピューティングで重要な用語の一つ「SAS 70 Type II」を探ってみよう!

PCI DSS Level 1

  • PCI DSS(Payment Card Industry Data Security Standard)
  • JCB、アメリカンエキスプレス、Discover、マスターカード、VISAが策定
  • 情報セキュリティに対する具体的な実装を要求
  • カード利用が月間5万件を超える企業や、「過去にカード取引情報の流出が発生したことのあるすべての加盟店」=> 認定セキュリティ・ベンダーによる年1回の訪問監査と、四半期ごとのネットワーク試験(脆弱性スキャン・テスト)が義務
  • カード会員データを社内システムで扱う企業は、PCI DSSの要件を満たすようにシステム実装し、業務を行うことで、最低限確保すべきセキュリティレベルを達成できる
  • 要件は200項目にものぼるので、すべてを実装するのは難しいので、プライオリティをつけて実装をしていく
  • 米国のいくつかの州では,カード情報の漏えいにともなう損害が発生した場合,PCI DSSへの準拠が確認されれば金融機関からの損害賠償請求に対して免責される
  • 「6個の目的」と「12個の要件」

5分で絶対に分かるPCI DSS

セキュリティ基準PCI DSS

ISO 27001

  • 組織の情報資産を洗い出し、その情報資産に対する脅威と脆弱性(弱点)からリスクを特定し、管理対策を行っていく
  • リスクを分析・評価する=>詳細管理策を選定する=>ツールを検討する=>手順を文書化する=>手順通りに実施する=>審査を受ける
  • ISMSの国際規格
  • 情報セキュリティマネジメントシステム(ISMS)

情報マネジメントシステム推進センター

情報セキュリティマネジメントシステム

FISMA

  • FISMA:Federal Information Security Management Act of 2002(連邦情報セキュリティマネジメント法)
  • 連邦政府機関が情報セキュリティを強化することを義務付け
  • 法律の対象となるのは、連邦政府機関や、連邦政府機関より業務委託を受けている民間の外部委託先

情報セキュリティ向上のための米国の取り組み-FISMA導入プロジェクト 解説のページ A Guide for the NIST FISMA Implementation Project -

連邦政府の情報セキュリティを飛躍的に向上させる新たなFISMA規格およびガイドライン

HIPPA

  • 医療情報の電子化の推進とそれに関係するプライバシー保護やセキュリティ確保について定めた法律
  • 物理的なセーフガード:機材にアクセスする倍は、管理され、監視されていなければいけない。アクセスは予め計画されて保守の記録を取る等
  • 医療現場でも適応させる(例えば看護士や、医者が病院外部で患者について個人を認定出来る内容を含んだ会話をしてはいけない、病院内で写真を取る時は承諾書にサインを貰う必要がある等)

Health_Insurance_Portability_and_Accountability_Act

HIPPA

HIPPA・個人情報保護法

こうして調べてみると、随分沢山取得しているのだな、と思います。セキュリティの対処方法は業界によって大きく変わってくる事はそんなに無いと思うので、セキュリティに関する証明書は取得しやすいかもしれません(取得するだけではなく、運用して行くのが大事なので、セキュリティ管理部門の方々は大変な思いをされている事も察する事が出来ます)

今後は日本のクラウド提供企業はどのようなセキュリティに関する第三者証明書について調べてみたいと思います!

JAWS-UGクラウド女子会では、クラウドのセキュリティに関する勉強会を2011/9/2に行います。ぜひご参加ください。ATNDはこちら