オンプレミスデータセンタ要件とAWS
AWSでは、お客様のデータのセキュリティとプライバシーを保持するためデータセンターの所在地は非公表としている。(https://aws.amazon.com/jp/compliance/faq/)。パブリック・クラウドのデータセンターは複数のお客様をホストしており、お客様を含め、第三者による物理的なアクセスを最小限としている。よくオンプレミス(従来の在り方)で気になる点を確認した。
だがしかし、シンプルにISO等の認証、SOC2監査等を求めたほうが簡潔である。RFPにはオンプレミスの場合とパブリッククラウドの場合で要件を並記したほうが良い。以下の文科省から公開されている教育情報セキュリティポリシーに関するガイドライン(令和元年12月版、文部科学省)は大変に参考になる!
https://www.mext.go.jp/content/20200225-mxt_jogai02-100003157_001.pdf
| データセンターの所在地は、データセンターの設置場所の国の法令が適用されるため、日本国内に限定すること。 | 場所は開示されませんが、東京リージョンは関東と言えます。東京リージョンは4つのアベイラビリティゾーン(DC群)を保有しており、大阪ローカルリージョンは1のアベイラビリティゾーンを保有しています。AWSカスタマーアグリーメントの準拠法を日本法に変更し、更に、同契約に関するあらゆる紛争に関する第一審裁判所を東京地方裁判所に変更することができます。 |
| データセンターのサービスレベルは、「データセンターファシリティスタンダード」(日本データセンター協会)のTier(ティア)3相当以上に適合していること。 | AWS はUptime Institute Tier III+ ガイドラインに従ってデータセンターを運営していますが、パフォーマンスの拡大や向上に関して高い柔軟性を備えるため、認定された Uptime Institute ベースの階層化レベルを持たないようにしています。インフラストラクチャのパフォーマンスに対する AWS の手法では、Uptime Institute の階層化ガイドラインを認識し、それをグローバルデータセンターのインフラストラクチャの設計に適用することで、お客様に対する最高レベルのパフォーマンスと可用性を実現しています。次に、AWS は Uptime Institute によって提供されるガイドラインを強化してグローバルオペレーションに対応できるようスケールするとともに、可用性とパフォーマンスについて Uptime Institute の階層化ガイドライン単独で達成できるレベルをはるかに超える運用上の結果を実現します。AWS は階層 4 への準拠は主張していませんが、システムでは自己修正対策が実施され、耐障害性の高いオペレーションのシーケンスを備えていることを確約できます |
| ISO27001/ISMS適合性評価の制度の認定を受けていること | AWS は ISO/IEC 27001:2013、27017:2015、および 27018:2014 への準拠の認定を受けています。これらの認定は独立した第三者監査人によって行われます。このように国際的に認められた規格および実施基準に準拠しているということは、AWS が組織のすべてのレベルで情報セキュリティに取り組んでいること、および AWS のセキュリティプログラムが業界の主なベストプラクティスに従っていることの証拠でとなります。 https://aws.amazon.com/jp/compliance/programs/ |
| 水害被害の恐れがない地域に立地していること。 | AWS を使用すると、各リージョン内の複数のアベイラビリティーゾーンだけでなく、複数の地理上のリージョン内に、柔 軟にインスタンスを配置してデータを保管できます。各アベイラビリティーゾーンは、障害が発生しても他のゾーンに影 響を与えないように設計されています。つまり、アベイラビリティゾーンは、代表的な都市のリージョン内で物理的に区 切られており、低リスクの氾濫原にあります(具体的な洪水帯の分類はリージョンによって異なります)。個別の無停電 電源装置(UPS)やオンサイトのバックアップジェネレータの利用に加え、単一点障害の発生をさらに減らすため、それ ぞれ別々の電力供給施設から異なる配管網を経由して電力供給を受けています。アベイラビリティゾーンはすべて、複 数の Tier-1 トランジットプロバイダに重複して接続しています。 |
| サービス提供を受けるデータセンターの視察を行うため、対応可能であること。視察が認められない場合、第三者や第三者監査に類似する客観性が認められる外部委託事業者の内部監査部門による監査、検査又は国際的なセキュリティの第三者認証の取得が可能なこと。 | 立ち入り監査とは、事務所その他必要な場所に立ち入らせることにより監査目標に即した有効な監査証跡を確保することにあります。AWSのデータセンターは複数のお客様をホストしており、幅広いお客様が第三者による物理的なアクセスの対象となるため、お客様によるデータセンター訪問及び立ち入り監査は許可していません。このようなお客様のニーズを満たすために、 SOC1 Type II レポートの一環として、独立し、資格を持つ監査人が統制の有無と運用を検証しています。利用者はSOC1 Type IIレポートをダウンロード可能です。企画構想段階で、AWSとNDAを結んでいるお客様は、コピーを要求可能です。https://aws.amazon.com/jp/compliance/soc-faqs/ データセンターの立ち入り監査の実効性とは、監査の実効性は物理的な管理統制を実地で評価することにより、監査目標に対して十分な監査証跡を得ることにあります。第三者の監査レポートにより統制目標を検証することが可能であり、AWSではセキュリティの確保から物理的な統制と仮想化上の管理統制は高度に分離されておりますことから、AWSの範囲となる物理的・論理的統制の監査は、第三者の監査レポートにより統制目標を検証することが可能です。 |
| 避雷設備(対策)を有すること。 | また、地震・水害・避雷等の災害対策に関し、AWS データセンターは、世界のさまざまなリージョンにクラスター化されて構築されています。すべてのデータセンターはオンラインで顧客にサービスを提供しており、「コールド」状態のデータセンターは存在しません。障害時には、自動プロセスにより、影響を受けたエリアから顧客データが移動されます。重要なアプリケーションはN+1 原則でデプロイされます。そのためデータセンターの障害時でも、トラフィックが残りのサイトに負荷を分散させるのに十分な能力が存在することになります。AWS は、各リージョン内の複数のアベイラビリティーゾーンだけでなく、複数の地理的リージョン内で、インスタンスを配置してデータを保管する柔軟性をお客様に提供します。各アベイラビリティーゾーンは、独立した障害ゾーンとして設計されています。つまり、アベイラビリティーゾーンは、一般的な都市地域内で物理的に分離されており、洪水の影響が及ばないような場所にあります(洪水地域の分類はリージョンによって異なります)。個別の無停電電源装置(UPS) やオンサイトのバックアップ生成施設に加え、シングルポイントの障害の可能性を減らすために、別々の電力供給施設から異なる配管網を経由して、個別に電力供給を行っています。これらはすべて、冗長的に、複数のTier-1 プロバイダーに接続されています。顧客はAWS の使用量を計画しながら、複数のリージョンやアベイラビリティーゾーンを利用する必要があります。複数のアベイラビリティーゾーンにアプリケーションを配信することによって、自然災害やシステム障害など、ほとんどの障害モードに対して、その可用性を保つことができます |
| 建築に関する要件(耐震性,出入口管理,等) | AWSのデータセンターでは、最新式の革新的な建築的、工学的アプローチを採用しています。AWSは大規模データセンターの設計、構築、運用において、長年の経験を有しています。 この経験は、AWS プラットフォームとそのインフラストラクチャに活かされているものです。AWSは日本に存在するAWSサービスで利用されるデータセンターに対する地球科学的な変化のリスクを考慮し、最新式の免震装置の採用を始めとして、そのようなリスクの影響を最小限にするために真剣に取り組んできました。日本のデータセンターは日本の震災に関する規格に準拠するように設計されています(https://aws.amazon.com/jp/compliance/jp-dr-considerations/) |
また、出入口管理に関し、AWSは、業務上の正当な理由で立ち入る必要がある人々に限定して、物理的なアクセスを許可しています。データセンターへの入場を必要とする従業員とベンダーは、まずアクセスを申請し、業務上の正当性を詳しく説明する必要があります。申請は、エリア・アクセスマネージャーを含む特別に任命された人物によって審査されます。アクセスが許可された場合、必要な業務が完了した時点で、このアクセスは失効します。 入口ゲートには警備員を配置し、監視カメラで警備員と訪問者を監視する監督者も配置されています。立ち入りを許可された人はバッジを渡されます。このバッジにより、多要素認証が実行され、事前に承認されたエリアへのアクセスが制限されます。 データセンターに日常的に出入りするAWSの従業員は、職務に基づいて施設の該当するエリアへのアクセスを許可されます。ただし、彼らのアクセスも毎回綿密に検査されます。エリア・アクセスマネージャーは、スタッフリストに常に目を通し、従業員ごとに許可が必要かどうかを確認します。データセンターに立ち入る業務上のニーズのなくなった場合、従業員は一般の訪問者と同様にアクセス権限を付与するプロセスが実行される必要があります。 サイトへの未承認の立ち入りは、ビデオ監視、侵入検出、およびアクセスログ監視システムを使用して継続的に監視されています。入口はドアがこじ開けられた場合や開け放したままの場合にデバイスでアラームを鳴らすことで保護されています。https://aws.amazon.com/jp/compliance/data-center/perimeter-layer/ |
|
| サーバ室に関する要件(空調設備,耐震対策,等) | AWSデータセンターは、環境を制御するとともに、サーバーやその他のハードウェアの適切な運用温度を保ち、過熱を防ぎ、サーバー停止の可能性を減らすためのメカニズムを使用しています。作業員とシステムが、温度と湿度を適切なレベルになるよう監視してコントロールしています。 また、AWSデータセンターは、自動火災検出システムおよび鎮火システムが設置されています。火災検出システムにおいては、ネットワーキングスペース、機械的スペース、インフラストラクチャースペース内で煙検出センサーが使用されています。また、これらのエリアは鎮火システムによっても保護されています。また、漏水を検出するため、水があることを検出するシステムをデータセンターに備えています。水が検出された場合、それ以上の水害を防ぐために水を除去するメカニズムが備わっています。 https://aws.amazon.com/jp/compliance/data-center/controls/#Operational_Support_Systems |
| 電源設備等に関する要件(受電容量,冗長性,UPS,自家発電装置,等) | AWSデータセンターの電力システムは、完全に冗長化され、運用に影響を与えることなく管理が可能となっています。1 日 24 時間体制で、年中無休で稼動しています。AWS は、施設内の重要かつ不可欠な業務に対応するために、電力障害時に運用を維持するための電力供給を可能とするバックアップ電源がデータセンターに備わっていることを保証しています。https://aws.amazon.com/jp/compliance/data-center/controls/#Operational_Support_Systems 水道、電気、通信、インターネット接続は、冗長性を持つよう設計されており、緊急時に中断しないように構築されています。電気系統は完全な冗長設計になっているため、停電の際は無停電電源装置(UPS)から特定の機能に電力が供給され、発電機から施設全体に非常用電力が供給されます。チームおよびシステムは、温度と湿度を監視して制御することで、過熱を防止し、サービス停止が起こらないようにします。https://aws.amazon.com/jp/compliance/data-center/infrastructure-layer/。 |
| 災害対応に関する要件(電気・水・燃料等の優先供給,等) | 日本の災害対策関連情報のサイトで、下記が記載されています。”日本のデータセンターは日本の震災に関する規格に準拠するように設計されています。AWS におけるデータセンターの事業継続性は、Amazon Infrastructure Group の指示に従って管理されています。より詳細な情報を必要とするお客様はAWSのセールス担当者、あるいはhttps://aws.amazon.com/jp/compliance/contact/ からAWSまでご連絡ください。” 追加の情報を得るにはこちらを確認すれば良さそうです。 https://aws.amazon.com/jp/compliance/jp-dr-considerations/ |
