コンプライアンス

コンプライアンスとは

コンプライアンスは、法規制や業界標準への準拠を確保し、セキュリティと信頼性を維持する取り組みである。AWS は多数のコンプライアンス認証を取得しており、責任共有モデルで顧客と責任を分担する。

「コンプライアンスに準拠している」とは、技術的な対策だけでなく、ポリシーの文書化、定期的な監査、インシデント対応手順の整備を含む包括的な取り組みを意味する。

主要な規制・標準

規制/標準	対象	主な要件
GDPR	EU の個人データ	データ削除権、同意管理、72 時間以内の侵害通知
PCI DSS	クレジットカード	暗号化、アクセス制御、定期的な脆弱性スキャン
SOC 2	SaaS	セキュリティ、可用性、処理の完全性、機密性、プライバシー
HIPAA	医療データ (米国)	データ暗号化、監査ログ、BAA (事業提携契約)
個人情報保護法	日本の個人データ	利用目的の明示、安全管理措置、第三者提供の制限
ISO 27001	情報セキュリティ全般	ISMS の構築・運用・継続的改善

AWS の責任共有モデル

AWS とユーザーの責任範囲は、利用するサービスの種類によって異なる。

責任	AWS	顧客
物理インフラ (データセンター、電源、冷却)	✅	-
ハイパーバイザー、ホスト OS	✅	-
ネットワークインフラ	✅	VPC、セキュリティグループの設定
OS パッチ (Lambda, Fargate)	✅	-
OS パッチ (EC2)	-	✅
アプリケーションコード	-	✅
データの暗号化	KMS を提供	✅ 暗号化を有効にする
IAM ポリシー	IAM を提供	✅ 最小権限で設定する
ログの有効化	CloudTrail を提供	✅ 有効化・保持期間を設定する

Lambda や Fargate のようなサーバーレスサービスでは、AWS の責任範囲が広がり、顧客の運用負荷が軽減される。

CloudTrail での監査ログ

CloudTrail は AWS アカウント内の全 API 呼び出しを記録する。「誰が」「いつ」「何を」したかを追跡でき、コンプライアンス監査の基盤となる。

# 特定のイベントを検索
aws cloudtrail lookup-events \
  --lookup-attributes AttributeKey=EventName,AttributeValue=DeleteTable

CloudTrail ログは S3 に保存し、改ざん防止のためにログファイルの整合性検証を有効にする。

AWS Config によるコンプライアンスの自動監査

AWS Config はリソースの設定変更を継続的に記録し、ルールに基づいて準拠状況を自動評価する。

Config ルール	チェック内容
s3-bucket-server-side-encryption-enabled	S3 バケットの暗号化が有効か
rds-storage-encrypted	RDS のストレージが暗号化されているか
iam-password-policy	IAM パスワードポリシーが要件を満たすか
cloudtrail-enabled	CloudTrail が有効か
restricted-ssh	セキュリティグループで SSH が全開放されていないか

非準拠のリソースが検出されると、SNS で通知したり、Systems Manager Automation で自動修復したりできる。

コンプライアンスの自動化パイプライン

AWS Config (設定監査)
  ↓ 非準拠を検出
Security Hub (一元管理)
  ↓ 集約・優先度付け
SNS (通知)
  ↓
Lambda (自動修復) or 手動対応

• AWS Config: リソース設定の継続的な監査
• CloudTrail: API 呼び出しの記録
• Security Hub: セキュリティ状態の一元管理、CIS Benchmarks や PCI DSS の自動チェック
• Macie: S3 内の PII (個人情報) の自動検出
• GuardDuty: 脅威の検出 (不正な API 呼び出し、暗号通貨マイニングなど)

よくある落とし穴

• 「AWS がコンプライアンス認証を取得している = 自分のシステムも準拠している」という誤解。責任共有モデルにおける顧客側の責任を果たす必要がある
• 監査ログを有効にしたが保持期間を設定していない。規制によっては 1 年以上の保持が求められる
• 暗号化を有効にしたが鍵のローテーションを設定していない。KMS の自動ローテーション (年 1 回) を有効にする

基礎から学ぶなら関連書籍が手がかりになる。