Zenn
📝

AWS Artifactってなんだろ?

2021/05/06に公開
AWS
#
artifact
idea

AWS Artifact(コンプライアンスレポートへのオンデマンドアクセス)| AWS

概要

  • 重要なコンプライアンス関連情報の頼りになる一元管理型のリソース
  • AWS のセキュリティおよびコンプライアンスレポートと特定のオンライン契約にオンデマンドでアクセス
  • さまざまな地域やコンプライアンス垂直市場の認定機関からの認定が含まれる
    • Service Organization Control (SOC)
    • Payment Card Industry (PCI) レポート
  • 利用可能な契約
    • 事業提携契約 (BAA)
    • 機密保持契約 (NDA)

メリット

  • 包括的なリソース
    • AWS の監査人が作成したレポート、認証、認定、その他のサードパーティーによる認定に、オンデマンドでアクセス
  • 契約ガバナンス
    • AWS との契約を確認、承認、管理
    • 組織内の現在および将来のすべてのアカウントに AWS の契約を適
  • 詳細なインサイト
    • AWS のデューディリジェンスを実施し、AWS のセキュリティ管理環境の高い透明性を保つ
    • AWS のセキュリティとコンプライアンスを継続的にモニタリングし、新しいレポートをすぐに確認

ポイント

  • AWSのセキュリティやコンプライアンスレポートなどにオンデマンドでアクセスできるサービス

よくある質問 - AWS Artifact | AWS

AWS ARTIFACT とは何ですか?

  • コンソールで利用可能なAWS のコンプライアンスドキュメントと AWS 契約へのオンデマンドのアクセスを提供する、セルフサービスによる監査アーティファクト検索ポータル
  • AWS ISO 認定、Payment Card Industry (PCI) レポート、System and Organization Control (SOC) レポートのような AWS セキュリティおよびコンプライアンスのドキュメントをダウンロードできる

AWS ARTIFACT には誰がアクセスできますか?

  • すべての AWS アカウント
  • ルートユーザーおよび管理者アクセス許可を持つ IAM ユーザー
  • Artifactへのアクセス権を持つユーザー

監査アーティファクトとは何ですか?

  • 組織が文書化プロセスに従っていること、または特有の要件を満たしていることを示す証拠
  • システム開発のライフサイクル全体で収集およびアーカイブされ、内部および外部向けの監査や評価における証拠として使用

ダウンロードできるアーティファクトの数には制限がありますか?

  • 必要に応じて、いつでも、何回でも、利用可能なアーティファクトにアクセスしてダウンロード可能

ポイント

  • コンソールで利用可能
  • セルフサービスによる監査アーティファクト検索ポータル
  • 適切なアクセス権があれば誰でもアクセス可能
  • 監査アーティファクトは証拠
  • ダウンロード制限はない

【新機能】AWS Artifactリリースされました!監査レポートをダウンロードしよう #reinvent | DevelopersIO

AWS Artifactとは

  • 無料でセルフサービス型の、AWSコンプライアンスレポートのダウンロードサービス
  • ISO、PCI、SOCなどの第三者による監査レポートをダウンロードできる
  • AWSがいかに安全で安心して使って頂けるか、NDA情報として利用者に共有
  • IAM権限さえ与えれば数分でダウンロードできる

ダウンロードできるレポートの種類

  • 金融
    • Global Financial Services Regulatory Principles
  • ISO
    • ISO 27001:2013 - セキュリティ管理
      • 独立した第三者審査員によって発行される認証
      • AWSがISO 27001のベストプラクティスガイダンスに従い、セキュリティ管理のベストプラクティスと包括的なセキュリティ管理に関する国際的に認められているISO 27001に準拠していることを検証する
    • ISO 27017:2015 - クラウドのセキュリティ管理
      • 独立した第三者審査員によって発行される認証
      • AWSがISO 27002ガイダンスおよびISO 27001標準を補うクラウド固有の情報セキュリティ管理のISO 27017実装ガイダンスに準拠していることを検証する
    • ISO 27018:2014 - 個人識別情報の保護
      • 独立した第三者審査員によって発行される認証
      • AWSが、ISO 27002ガイダンスとISO 27001規格を補完するパブリッククラウド個人識別情報(PII)保護に適用されるコントロールのISO 27018実装ガイダンスに準拠していることを検証する
    • ISO 9001:2015 - 品質管理
      • 独立した第三者審査員によって発行される認証
      • AWSがAWSサービスの開発、設計、提供の効果的な品質管理と継続的改善のためにISO 9001規格に準拠していることを検証する
      • AWSクラウドで品質管理されたITシステムを開発、移行、運用する顧客を直接サポートする
  • PCI
    • PCI DSS Attestation of Compliance (AOC) and Responsibility Summary
      • AWSのお客様は、カード会員データを保管、送信、または処理できる独自のカードデータ環境(CDE)を作成することができる
  • 医薬
    • Quality Management System Overview
      • サプライヤの評価を行うためにAWS品質管理システムについての洞察を必要とするGxPのお客様向けに用意
  • SOC
    • Service Organization Controls (SOC) 1 Report
      • 財務報告(ICOFR)に対する内部統制に影響を与えるかもしれないAWSコントロールの有効性を評価
      • 監査は、SSAE 16およびISAE 3402の基準に従って行われる
    • Service Organization Controls (SOC) 2 Report
      • 米国公認会計士協会(AICPA)TSPセクション100、セキュリティサービス、可用性、処理の整合性、機密性、およびプライバシーのためのトラストサービスの原則と基準におけるセキュリティと可用性の基準を満たすAWSコントロールを評価
    • Service Organization Controls (SOC) 3 Report
      • SOC 3は、AWS SOC 2レポートの概要

ポイント

  • 無料でセルフサービス型の、AWSコンプライアンスレポートのダウンロードサービス
  • 第三者による監査レポートをダウンロードできる
  • AWSの安心、安全性を顧客と共有し証明する
  • 様々な分野にわたっている

コンソール

まとめ

  • 無料でセルフサービス型の、AWSコンプライアンスレポートのダウンロードサービス
  • 第三者による監査レポートをダウンロードできる
  • AWSの安心、安全性を顧客と共有し証明する
  • コンソールで利用可能
  • 適切なアクセス権があれば誰でもアクセス可能
  • 様々な分野にわたっている

参考になれば幸いです。

Discussion