AWS上でNISTへの準拠が必要ですか?AWSのコンプライアンスはNIST 800-171をカバーできます。
業界をリードするAWSのセキュリティの強みは様々な形で利益をもたらしてくれます。その一つは第三者評価機関によって広く監査されているプラットフォームの利用によります。時に、新しい要件が発行されたとしても、これらの監査により私達がそれらを満たすことができるということが確認されます。2015年の6月に出されたアメリカ国立標準技術研究所(NIST)のガイドライン800-171がそれに当たります。このガイドラインは非連邦政府上のシステムにおける管理指定された非機密扱いの情報(Controlled Unclassified Information/CUI)の保護に適用できるものです。
AWSは既にこれらのガイドラインに準拠しており、お客様はNIST 800-171にすぐに効果的に準拠することができます。 NIST 800-171は、私達がすでに私達のFedRAMPプログラムにより監査されているガイドラインであるNIST 800-53の要件の一部を略述したものです。 FedRAMP Moderateのセキュリティコントロールのベースラインは800-171の3章で確立されている推奨要件よりも厳格なものであり、CUIデータを保護するFISMA Moderateのシステムに要求されるものを超えたかなりの数のセキュリティコントロールを含んでいます。 詳細なマッピングはNIST Special Publication 800-171のページD-2より始まるところで利用可能です。(PDFの37ページです)
これを念頭に、連邦政府のお客様はAWSが発展する米国連邦政府のセキュリティ要件への順守を維持できるという知識と共にCUIのワークロードのAWSへの移行を進めることができます。
NIST、FedRAMP、また他のセキュリティの保証に関する質問があれば、どうぞお問いあわせ下さい。
- Chad Woolf, Director of AWS Risk and Compliance (日本語訳は高田智己が担当しました)
コメント