- tech系
GCP / AWS / Azure のコンプライアンス 決定版
目次
こんにちは。クラウドエース編集部です。
コンプライアンスを把握する必要性
多くの企業や官公庁はオンプレミスの時代からデータセンターや SIer の選定などで ISO や PCI DSS を取得しているかどうかのチェックを行っています。本記事はメガクラウド(GCP / AWS / Azure)が独自監査を実施しているコンプライアンスを表でまとめています。オンプレミスからクラウドへの移行、クラウドからメガクラウドへの移行検討の際に参考にしてみてください。
オンプレミスからクラウドに移行する際には、様々な検討を重ねるのが通常です。検討する内容としては、クラウド上でのアーキテクチャ、スペック、コスト、セキュリティ、運用など、様々な項目があります。さらに業種ごとに要件が追加されるケースが多いです。例えば、医療機関においては個人情報と紐づけられているシステムと命に係るシステム、金融機関においては勘定系システムと情報系システムと、業種別に要件が異なります。また、官公庁の場合は調達仕様書にコンプライアンスに関する内容が記載されており、これは官公庁のガイドラインに準じています。
コンプライアンス 対応表
メガクラウドの場合、お客様は世界に点在しているため、エリアごとに以下の5つのカテゴリに分類しています。例えば、ISO や SOC の場合は「グローバル」に分類し、マイナンバー法は「日本」、GDPR は「ヨーロッパ」に分類しています。これらは、日本の企業が世界展開する場合に参考になります。また、SOC や GDPR という名称を並べただけでは意味がわからないので概要を記載していますが、詳細は名称のリンクを参照してください。なお、本対応表は主要なコンプライアンスを掲載しています。表内の「 ◯ / – 」は、各クラウドがそのコンプライアンスに遵守・準拠している記載が、各クラウドの公式サイトにある場合は◯、見当たらない場合は-としています。すべてを把握したい場合は、本記事の「参考サイト」に記載されている GCP / AWS / Azure それぞれの公式サイトをチェックしてみてください。
- グローバル
- アメリカ
- 日本
- ヨーロッパ
- アジア太平洋(日本以外)
グローバル
| 名称 | 概要 | GCP | AWS | Azure | |
|---|---|---|---|---|---|
| 1 | CSA / CSA STAR | クラウドセキュリティアライアンスの統制 | ○ | ○ | ○ |
| 2 | ISO 9001 | 品質マネジメントシステム。2015年版が最新 | – | ○ | ○ |
| 3 | ISO 20000-1:2011 | ITサービスマネジメント。2011年4月に2005年版を改訂、ISO / IEC 20000-1:2011として発行 | – | – | ○ |
| 4 | ISO 22301 | 事業継続マネジメントシステム(BCMS)。事業計画書(BCP)の作成時に参考 | – | – | ○ |
| 5 | ISO 27001 | 情報セキュリティマネジメントシステム(ISMS) | ○ | ○ | ○ |
| 6 | ISO 27017 | クラウド固有の統制 | ○ | ○ | ○ |
| 7 | ISO 27018 | 個人データの保護 | ○ | ○ | ○ |
| 8 | ISO 50001 | エネルギーマネジメントシステム。自社のデータセンターでクラウドやサービスを提供している企業が取得 | ○ | – | – |
| 9 | PCI DSS Level 1 |
クレジットカード情報および取り引き情報を保護するために JCB / American Express / Discover / Mastercard / VISA が共同で策定した、クレジット業界におけるグローバルセキュリティ基準。2016年4月に PCI DSS v3.2(Level 1)を公開。 サービスプロバイダレベルは次のように定義
|
○ | ○ | ○ |
| 10 | SOC 1 | 財務報告に関する統制 | ○ | ○ | ○ |
| 11 | SOC 2 | セキュリティ / 可用性 / 機密保持に関する統制 | ○ | ○ | ○ |
| 12 | SOC 3 | セキュリティ / 可用性 / 機密保持の統制に関する一般公開報告 | ○ | ○ | ○ |
アメリカ
| 名称 | 概要 | GCP | AWS | Azure | |
|---|---|---|---|---|---|
| 1 | CJIS | 刑事司法情報サービス。米国連邦捜査局 (FBI) の Criminal Justice Information Services (CJIS) セキュリティポリシー。第3者による監査で CJIS 認証を取得 | – | ○ | ○ |
| 2 | COPPA | 子供のオンラインプライバシー保護。1998 年児童オンライン プライバシー保護法(COPPA)の要件に基づき、学校でサービスを利用する際に保護者の同意を得ることを義務付けている | ○ | – | – |
| 3 | DoD | DoD データ処理。国防総省 (DoD) クラウドコンピューティングセキュリティ要求事項ガイド (SRG) に、DoD ユーザーへのサービス提供を可能にする DoD 暫定認証 (Provisional Authorization) をクラウドサービスプロバイダーが取得するために必要な評価と認証の標準化されたプロセスが規定。米国国防情報システム局 (DISA) が暫定認証を発行 | – | ○ | ○ |
| 4 | FedRAMP | 政府データ規格。クラウドを対象としたセキュリティ評価 / 認証 / 継続的モニタリングの標準規格を規定する米国連邦政府のプログラム。NIST 800-53/171 の要件を内包 | ○ | ○ | ○ |
| 5 | FERPA | 教育機関プライバシー法。家庭教育の権利とプライバシーに関する法律(Family Educational Rights and Privacy Act: FERPA)に準拠 | ○ | ○ | ○ |
| 6 | FEIEC | 金融機関法規。米国連邦金融機関検査協議会(FEIEC)オンラインバインキング向けセキュリティ標準。FFIECサイバーセキュリティ評価ツールをリリースし、自己評価として使用可能 | – | ○ | – |
| 7 | FIPS 140-2 | 政府セキュリティ規格。連邦情報処理規格(Federal Information Processing Standards/FIPS)出版物140-2 は、機密情報を保護する暗号モジュールのセキュリティ要件を規定する米国政府のセキュリティ基準 | ○ | ○ | ○ |
| 8 | FISMA | 連邦情報セキュリティ運用管理。米国政府機関のシステムを連邦情報セキュリティマネジメント法(Federal Information Security Management Act / FISMA)に準拠 | ○ | ○ | – |
| 9 | GxP | 米国食品医薬品局 (FDA)による品質ガイドラインと法規。GxP 要件では、食品や医療製品の消費者に対する安全性を確保し、製品やシステムに関連した安全性についての意思決定に使用されるデータの完全性を確保することを目的としたガイドライン。認定プログラムはない。 | – | ○ | ○ |
| 10 | HIPAA / HITECH | 医療情報の保護。米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA)、経済的および臨床的健全性のための医療 IT に関する法律 (HITECH)に準拠。認証プログラムはない。 | ○ | ○ | ○ |
| 11 | HITRUST CSF | 規制遵守とリスク管理のための、業界に依存しない認証フレームワーク。HITRUST は非営利団体 | ○ | – | ○ |
| 12 | ISE | 優れたセキュリティを実現する継続的な取り組みを目に見える形で示すために、Independent Security Evaluators(ISE) によるセキュリティの監査と評価。その評価内容をコンテンツ所有者やフィルムスタジオと共有 | ○ | – | – |
| 13 | ITAR | 国際武器規制。米国の国際武器取引規則 (ITAR) コンプライアンス。第3者による監査 | – | ○ | ○ |
| 14 | MPAA | 知的所有権データの保護。アメリカ映画協会(MPAA)はクラウドプロバイダ向けのベストプラクティスのガイドラインを作成。なお、MPAA による認定は不要で No.12 の ISE の評価を参考 | ○ | ○ | ○ |
| 15 | NIST 800-53 | 米国国立標準技術研究所(NIST)800-53 のセキュリティ統制。米国連邦情報システムのセキュリティとプライバシー要件 | ○ | ○ | ○ |
| 16 | NIST 800-171 | アメリカ国立標準技術研究所(NIST)の特別刊行物(SP)800-171 が 2015 年 6 月に発行した、米国連邦政府が管理する非機密情報に関するセキュリティ要件 | ○ | – | ○ |
| 17 | SEC ルール 17a-4(f) |
金融データ規格。SEC規則17a-4(f)の電子書籍およびレコードの保存要件を満たす方法を詳述した第三者評価を受ける。AWSは Vault Lock 機能を実装した Amazon Glacier が対象 | – | ○ | ○ |
| 18 | VPAT / セクション 508 | アクセス規格。リハビリテーション法 第508条は、すべての連邦政府機関が電子情報技術を開発、調達、保守、または使用するときに適用。障害を持たない人に提供されるアクセスと同等の公開アクセスを障害を持つ職員と一般市民にも提供することを連邦政府機関に義務付けている | – | ○ | ○ |
日本
| 名称 | 概要 | GCP | AWS | Azure | |
|---|---|---|---|---|---|
| 1 | マイナンバー | 行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法) | ○ | ○ | ○ |
| 2 | 政府機関等の情報セキュリティ対策のための統一基準群 | 内閣サイバーセキュリティセンター(NISC)が発行しているガイドラインで、日本の中央省庁はこれを元に各省庁で改版を継続実施 | ○ | ○ | ○ |
| 3 | 3省4ガイドライン | 厚生労働省 / 総務省 / 経済産業省の3省が発行する医療情報システムの安全管理に関するガイドライン | ○ | ○ | ○ |
| 4 | CSVガイドライン | 厚生労働省が策定した「医薬品・医薬部外品製造販売業者等におけるコンピュータ化システム適正管理ガイドライン」への対応 | ○ | ○ | ○ |
| 5 | FISC | 財団法人金融情報システムセンター(FISC)は発行している金融機関向けのガイドラインで、システムアーキテクチャや運用に関する指針として活用 | ○ | ○ | ○ |
ヨーロッパ
| 名称 | 概要 | GCP | AWS | Azure | |
|---|---|---|---|---|---|
| 1 | GDPR (EU) |
EU の一般データ保護規則(GDPR)に準拠。特定条項を契約に盛り込むことにより、EU データ保護指令に準拠した形で、EU 内の組織から EU や欧州経済領域(EEA)外のクラウドプロバイダに個人情報に転送が可能 | ○ | ○ | ○ |
| 2 | プライバシー シールド (EU) |
EU から米国への個人情報移転に関する EU データ保護指令に基づく要件を EU 内の企業が遵守できるようにする適切な方法「EU と米国間のプライバシー シールドフレームワーク」の認定 | ○ | ○ | ○ |
| 3 | NCSC (イギリス) |
英国の国家サイバー セキュリティセンター(NCSC)によるクラウドサービスを評価するためのセキュリティ ガイドライン | ○ | – | – |
| 4 | サイバーエッセンシャルズプラス (イギリス) |
サイバーエッセンシャルズプラスとは、英国で導入されている政府公認の業界支援認証スキームであり、一般的なサイバー攻撃を防止する実践的なセキュリティの実証を目的としている。第3者機関によってサイバーエッセンシャルズプラス認証を取得 | – | ○ | ○ |
| 5 | G-Cloud (UK) |
英国政府規格。公共部門がIT技術を調達するため、英国政府が承認した短期契約でクラウドサービスの調達が可能。 | – | ○ | ○ |
| 6 | C5 (ドイツ) |
運用セキュリティ証明。クラウドコンピューティングコンプライアンスコントロールカタログ (C5) は、連邦情報セキュリティ庁 (BSI) によって導入されたドイツ政府の認定スキーム。一般的なサイバー攻撃に対して、企業が運用上のセキュリティを実現するのに役立ち、クラウドで稼働しているアプリを C5 認定として認められる | – | ○ | ○ |
| 7 | IT-Grundschutz (ドイツ) |
IT 基本保護法。IT-Grundschutz カタログは、IT システムのセキュリティ対策の決定と実装に役立つ具体的な手法を提供するものであり、C5 標準の基盤となる要素の 1 つ | – | ○ | ○ |
アジア太平洋(日本以外)
| 名称 | 概要 | GCP | AWS | Azure | |
|---|---|---|---|---|---|
| 1 | PDPL / PDPA(アルゼンチン) | 個人データ保護を担当する政府当局が発布した個人データ保護法。AWS、Azure は PDPA で認定 | ○ | ○ | ○ |
| 2 | IRAP (オーストラリア) |
オーストラリア政府でクラウドサービスを調達し、活用する際の主な考慮事項。組織のセキュリティ管理の実装、適切さ、有効性をオーストラリア政府のセキュリティ要件に照らして評価するためのフレームワークを提供。第3者監査人による IRAP 認定を取得 | ○ | ○ | ○ |
| 3 | APP (オーストラリア) |
オーストラリアのプライバシー原則(APP)を含む個人情報保護法 1988(Cth)(個人情報保護法)は、APP エンティティが個々の個人情報と機密情報を収集、使用、管理する方法を規制 | ○ | ○ | – |
| 4 | APRA (オーストラリア) |
オーストラリア健全性規制庁による金融商品取扱業者に関する健全性基準。健全性基準の CPS 231、CPG 234、CPG 235 は、アウトソーシング、情報および情報技術におけるセキュリティ リスクの管理、データリスクの管理を統制する3つの基準および実践的なガイド | ○ | – | ○ |
| 5 | PIPEDA (カナダ) |
商業活動に従事する民間組織 / 団体が個人情報を扱う方法を規制する、民間組織に関するカナダ連邦プライバシー法 | ○ | ○ | – |
| 6 | MTCS Tier3 (シンガポール) |
階層ベースのクラウド セキュリティ標準。Multi-Tier Cloud Security(MTCS)Singapore Standard(SS)584 は、シンガポール情報通信メディア開発庁(IMDA)が管理するクラウド セキュリティ認定資格。Tier3 は最も厳しい要件が定められている | ○ | ○ | ○ |
参考サイト
まとめ
コンプライアンスは国単位で多くの法律 / ガイドラインが策定され、適宜改訂をしています。業界団体も独自のガイドラインを策定し、企業が遵守することを求めています。クラウド、サービスプロバイダーはこれに応えるため認定資格があれば取得し、認定資格がなくともガイドラインに遵守していることを各社の公式サイトでアナウンスしています。
Microsoft(Azure)は非常に多くのコンプライアンスを遵守しています。これは1990年以降の IT 産業の発展に伴い、Windows / WindowsServer など様々な IT サービスを提供し続け、継続的に認定資格の取得をしてきた経緯があります。1度認定されれば済む場合もあれば、3年更新で審査が必要な認定資格もあります。コンプライアンスやプライバシー保護を遵守するために、非常に大変な作業を各社は行っています。だからこそ私達はクラウドを安心して使うことができます。
弊社では GCP のコンサルティングから導入・運用支援サービスを提供しておりますので、ご興味のある方はお問い合わせください。
また、インフラエンジニアだけでなく、あらゆる職種で仲間も募集しています。Google Cloud Platform に関わる仕事をしてみたい方、ぜひ一緒にクラウドエースで働きませんか!
ご応募、お待ちしています。
3大クラウドをさらに比較してみよう
今回は、コンプライアンスという観点から、Google Cloud、AWS、Azure を比較しましたが、下記の資料ではさらに他の分野の比較もまとめられていますので、ぜひご覧になってください。
AWS・GCP・Azure 3大クラウドサービス 比較表
この記事を共有する
