もし皆様のアプリケーションが、クレジットカードのデータを処理し、保存し、転送する必要がある場合は、おそらくPCIデータセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)を良くご存じだと思います。この標準は、クレジットカードデータを安全に管理するためのクレジット業界におけるグローバルセキュリティ基準です。その基準が規定しているのは、安全なネットワークの構築・維持、カード会員情報の保護、脆弱点を管理するプログラムの維持、強固なアクセス制御手法の導入、定期的なネットワークの監視およびテスト、情報セキュリティポリシーの保有、に及んでいます。
非常に喜ばしいことですが、今回の発表は、アマゾンクラウドを提供する我々AWSが、PCI DSS準拠のPCIサービスプロバイダ(レベル1)として認証されたということです!これはクラウドベンダーとしては画期的なことです。この認証では、独立した認証審査期間であるQSA(Qualified Security Assessor)が、PCI DSS v2に対して我々が準拠しているということを認証しています。
クラウドインフラストラクチャを提供するAWSが、レベル1のPCIサービスプロバイダである、ということの意味は多くの人にとって若干分かりにくいと思いますので、もう少し説明したいと思います。これは、AWSを利用してシステムを開発するサービスプロバイダ(流通業、ガソリンスタンド、ホテルなど大量のカード情報を持っている業種)が、PCI基準に準拠し認証したAWSクラウドプラットフォームを、必要に応じて自由に使うことができるということです。PCI DSSの認証が必要なサービスプロバイダにとっては、AWSのクラウドを利用することで、PCI準拠のための作業を単純化することができるのです。つまりAWSが提供するインフラストラクチャレイヤーはPCI準拠しているので、システムを開発するサービスプロバイダは、AWSが提供している以外の部分にその努力を集中することができます。AWSの認証は、カード管理会社が典型的に必要とする、Amazon Elastic Compute Cloud (EC2)、Amazon Simple Storage Service (S3)、Amazon Elastic Block Storage (EBS)、Amazon Virtual Private Cloud (VPC)といったサービスをカバーしています。
AWSを認証したQSAは、コンプライアンスレポートと認証証明書をVisaに11月30日に提出しました。AWSは、Visaの認証済みサービスプロバイダのリストに近い将来に掲載される予定です。
最近まで、PCI準拠を、仮想化されたマルチテナントな環境で取得する、などということは考えもしなかったことでしょう。2010年10月に公開された最新版のPCI DSS 2.0では、仮想化に対してのガイダンスが提供されたのですが、マルチテナント環境についてのガイダンスはありませんでした。我々は、PCI認証審査機関とともに、我々のセキュリティ管理プロセス、PCIコントロール、補償コントロール(compensating controls)についてドキュメント化することに成功し、いかにしてAWSが、AWS保護下の環境の中で各顧客を安全に隔離しているかを示すことができました。PCI認証審査機関は、我々のセキュリティとアーキテクチャが新しいPCI基準に準拠していることを確認でき、我々のコンプライアンス準拠を認証したのです。
たとえ、皆様のアプリケーションがクレジットカードのデータを処理する必要が無かったとしても、この認証は非常に有効であるといえるでしょう。というのも、PCI DSSは、企業にとっては、センシティブなデータを扱っているのであればそれがどんな種類であれ、それらを安全に取り扱っているかどうかの良い指標として見られているからです。今回の発表により、特に、大企業の皆様にとって、より多くのアプリケーションや重要なデータを、安心してアマゾンクラウドに移して頂くきっかけとなるに違いありません。
玉川憲 (Ken Tamagawa)
Twitter: @KenTamagawa
コメント