VMware は、各種製品やサービスごとに業界標準の各種コンプライアンス認証を取得しています。今回は、VMware Cloud on AWS のコンプライアンス対応についてまとめてご紹介します。尚、本ブログは「VMware Cloud on AWS – Unlocking Cloud Compliance Globally」の抄訳版です。

VMware Cloud on AWS のコンプライアンス対応

VMware Cloud on AWS は、業界をリードする多数のコンプライアンス認証を取得しており、お客様のさまざまなユースケースやコンプライアンス要件をサポートします（図1）。VMware が提供するコンプライアンスは、ISO 認証をはじめとして、北米から欧州、アジア太平洋地域をカバーするさまざまな地域固有の認証まで幅広くカバーしています。さらに VMware は、さまざまな地域の政府や金融サービス業界のコンプライアンス要件に対応するホワイトペーパーも多数発行しています。

VMware は、セキュリティとコンプライアンスのリスク管理に対して（特に金融、医療、政府などの業界におけるクラウド規制要件の変化により）ますますお客様に圧力がかかっていることを認識しています。VMware のコンプライアンスは、お客様のワークロードを保護し、クラウド機能を活用して最新のアプリケーションを構築、実行および管理するために、堅牢な機能と制御および保証を提供します。VMware Cloud on AWS のお客様は、この分野における当社の継続的な取り組みにより、クラウドリソースでさまざまなニーズに対応し、低コストかつ低リスクでより迅速なサービス提供を実現できます。

図1  VMware Cloud on AWS が取得している主なコンプライアンス認証（一部抜粋）

コンプライアンス認証と関連資料（グローバル）

ISO 27001, ISO 27017 および ISO 27018

VMware Cloud on AWS は、クラウドの3つの主要な国際標準化機構（ISO）認証である ISO 27001、ISO 27017、ISO27018を取得しています。ISO 認証は、国際標準の情報セキュリティ管理システム（ISMS）の運用と保守、および EU データ保護法の主要な要件に対応するクラウド固有のセキュリティ制御とプライバシー制御の実装に関する要件を提供する、世界的に認められている業界標準的な認証です。ISO 認証の取得は、技術的および組織的なセキュリティ対策で高いセキュリティ基準を満たし、継続的なセキュリティ管理の監視を維持するという当社の取り組みを示しています。 ISO 認証の詳細については、VMware Cloud Trust Center をご覧ください。

SOC2 Type 2

VMware Cloud on AWS は、2019-2020年の米国公認会計士協会（AICPA）の SOC2 Type 2 監査報告書を取得するために、厳格な外部監査を受けています。SOC2 報告書は、VMware Cloud サービス提供のセキュアな運用に対する設計と運用が有効に制御されていることを保証します。SOC2  報告書は、セキュリティ体制を理解し、内部統制について外部監査人などの独立した意見を必要とするお客様に適しています。最新の SOC2 報告書の資料の入手については、VMware の担当営業にお問い合わせください。

PCI DSS

VMware Cloud on AWS は、クラウドプロバイダーにとって最高レベルであるクレジットカード業界の情報セキュリティ基準である「PCI DSS 3.2.1」の 「Service Provider Level 1」認定を取得しています。VMware は、PCI DSS Service Provider として認定されることにより、VMware Cloud on AWS のサービスは PCI DSS 準拠に則したセキュリティ対策と運用が徹底されており、それによって幅広い顧客とワークロードのニーズに対応できることを実証しました。お客様は、VMware Cloud on AWS を使用することで、カード会員環境または PCI DSS ソリューションの実装と維持に関連するリスクや労力、コスト、時間を最小限に抑えることができます。詳細については、ホワイトペーパー「Migrating PCI Workloads to VMware Cloud on AWS」を参照してください。

Cloud Security Alliance – Level 1

VMware は、Cloud Control Matrix（CCM）への準拠を文書化するための Consensus Assessments Initiative Questionnaire（CAIQ）に対応し「CSA STAR Level 1」に参加しています。CAIQ は、IaaS や PaaS、SaaS に存在するセキュリティ制御について文書化したもので、業界で認められた方法論を示しています。お客様はクラウドセキュリティ評価で CSA STAR 基準を利用できます。CSA STAR Self-Assessment は毎年更新されますが、最新の CAIQ ドキュメントは CSA – VMware.Inc で確認およびダウンロードできます。

コンプライアンス認証と関連資料（欧州地域）

Cyber Essentials Plus

Cyber Essentials は、英国政府の支援のもと業界がサポートするフレームワークであり、組織がサイバーセキュリティリスクを管理するのに役立ちます。 本フレームワークは、サイバーセキュリティに対する組織の取り組みを示し、内部データと顧客データの保護に対するコントロールを明示します。Cyber Essentials Plus では、テクニカルコントロールやガバナンスコントロール、保証プロセス、および英国 National Cyber Security Centre （NCSC）によって承認された監査人による侵入と脆弱性テストを義務付けています。VMware Cloud on AWS は、これらの必須とされるコントロール要件を実装して広範な外部評価を受けることで Cyber Essentials Plus 認証を取得しています。

G-Cloud

G-Cloud は、英国の公共部門における調達ポリシーとプロセス管理を管轄する政府機関である UK Crown Commercial Service によって発行されたフレームワーク契約です。これは、英国の公的機関がクラウドサービス（ホスティングやソフトウェア、クラウドサポートなどのクラウドコンピューティングサービス）の調達で使用できるオンラインカタログです。VMware は、英国政府によって審査されており、その地域の政府および公共部門の組織によって許可された用途で利用できます。VMware Cloud on AWS は、G-Cloud Digital Marketplace に掲載されています。 本クラウドサービスの調達を希望するお客様は、GUV.UK – Digital Marketplace – VMware Cloud on AWS にてより詳しい情報をご確認いただけます。

European Banking Authority (EBA) Outsourcing Guidelines

European Banking Authority（EBA）が発行している Guidelines on outsourcing arrangements は、金融機関が内部機能をサービスプロバイダーにアウトソーシングする際の（EBA の権限の範囲内で規定する）ガバナンスフレームワークおよびガイドラインです。VMware は、EBA ガイドラインで規定されている契約要件に対応するために、欧州の銀行のお客様をサポートします。EBA 補足条項の資料の入手については、VMware の担当営業にお問い合わせください。

The General Data Protection Regulation (GDPR)

The General Data Protection Regulation（GDPR）は、欧州連合の人々に関連するデータを対象とする、または収集する組織に適用されるプライバシーおよびセキュリティの法令です。GDPR に基づくプロセッサーとしての VMware の義務およびコミットメントは、「Data Processing Addendum」に記載されています。また、VMware は処理する個人データについて、Binding Corporate Rules (BCR) の承認を取得しています。詳細については、VMware Cloud Trust Center – Privacy をご覧ください。

コンプライアンス認証と関連資料（アジア太平洋地域）

3省3ガイドライン (Three Guidelines from Three Ministries) – 日本

3省3ガイドラインは、厚生労働省、総務省、経済産業省の三つの省庁が発行しているセキュリティとコンプライアンスのガイドラインです。医療データ（カルテや医用画像など）をパブリッククラウドなどの外部施設に保存する医療機関は、セキュリティと信頼性を確保するためにこれらのガイドラインに準拠する必要があります。VMware は、3省3ガイドラインに対応するためにリファレンスガイド（VMware Cloud on AWS がこれらのガイドラインの要件を満たす方法、およびお客様がワークロードを VMware Cloud on AWS に移行するときにさまざまなセキュリティおよびコンプライアンスのリスクに対処する方法を説明したもの）を公開しています。さらに、そのリファレンスガイドを補完するために、3省3ガイドラインの準拠に関するホワイトペーパー「Three Guidelines from Three Ministries Japan – VMware Cloud on AWS」も公開しています。リファレンスガイドの入手ついては、VMware の担当営業にお問い合わせください。

The Australian Prudential Regulation Authority (APRA) – オーストラリア

APRA は、オーストラリアの金融サービス部門の監督機関です。APRA は、2018年9月にクラウドコンピューティングを採用する金融サービス事業者向けのガイドライン「IMFORMATION PAPER : OUTSOURCING INVOLVING CLOUD COMPUTING SERVICES」を公開しました。VMware は、オーストラリアの金曜サービス事業者が VMware Cloud on AWS を活用し、クラウドコンピューティングを含むアウトソーシングに関わる APRAの要件に対処する方法を示すホワイトペーパー「Response To Australian Prudential Regulatory Authority (APRA) Information Paper – Outsourcing Involving Cloud Computing Services – VMware Cloud on AWS」を公開しています。

Australia ISM Consumer Implementation Guide – オーストラリア

Australian Cyber Security Center (ACSC) は、サイバーセキュリティを改善する目的でオーストラリア政府の取り組みを主導しています。ACSC は、オーストラリア政府機関のセキュリティ管理要件を示す Information Security Manual (ISM) を公開しています。VMware は、Information Security Registered Assessor Program (IRAP) の独立審査機関による ISM 要件に対するギャップ評価を受けています。

Multi-Tier Cloud Security Standard (MTCS) White Paper – シンガポール

The Singapore Multi-Tier Cloud Security Standard (MTCS) は、パブリッククラウドユーザーとサービスプロバイダーのためのクラウドコンピューティングに関するセキュリティプラクティスとコントロールを説明する三層構造のセキュリティフレームワークです。VMware が公開しているホワイトペーパー「Response To Singapore Multi- Tiered Cloud Security (MTCS) Standard Requirements – VMware Cloud On AWS」では、MTCS の要件に対応するために VMware Cloud on AWS で実装できるさまざまなセキュリティプラクティスについて説明しています。ワークロードを VMware Cloud on AWS へ移行したいお客様は、このホワイトペーパーを活用してセキュリティとコンプライアンスのリスクの対処方法を評価できます。

Outsourced Service Provider Audit Report (OSPAR) White Paper – シンガポール

Association of Banks（ABS）は、シンガポールに拠点を置く金融機関にアウトソーシングされたサービスプロバイダーがサービスを提供するときに遵守すべき一連のガイドラインとコントロール手順を定めています。これらは、Outsourced Service Providers Audit Report (OSPAR) ガイドラインと呼ばれます。VMware は、OSPAR 要件に対するコントロールとセキュリティをカバーするホワイトペーパー「Response To OSPAR (Outsourced Service Provider Audit Report) ABS (Association of Banks) Guidelines  – VMware Cloud On AWS」を公開しています。このホワイトペーパーを活用してセキュリティとコンプライアンスのリスクの対処方法を評価でき、VMware Cloud on AWS への移行を実現できます。

まとめ

ここで紹介した認定の取得情報および関連資料は、常に更新されます。また、ここで紹介していない認定情報などを含め、最新情報を確認する際は、本記事に示しているオフィシャルサイトを参照いただくか、担当営業にお問い合わせください。

関連情報リンク

• VMware Cloud on AWS 取得済み業界標準セキュリティ・コンプライアンス認定
• VMware Cloud Trust Center
• ISO認証 – VMware Cloud Trust Center
• SOC 2 – VMware Cloud Trust Center
• PCI DSS – VMware Cloud Trust Center
• Cyber Essential Plus – VMware Cloud Trust Center
• G-Cloud – VMware Cloud Trust Center
• ホワイトペーパー「VMware Cloud Services Security Overview」
• ホワイトペーパー「Migrating PCI Workloads to VMware Cloud on AWS」
• ホワイトペーパー「Response To Australian Prudential Regulatory Authority (APRA) Information Paper – Outsourcing Involving Cloud Computing Services – VMware Cloud on AWS」
• ホワイトペーパー「Response To Singapore Multi- Tiered Cloud Security (MTCS) Standard Requirements – VMware Cloud On AWS」
• ホワイトペーパー「Response To OSPAR (Outsourced Service Provider Audit Report) ABS (Association of Banks) Guidelines  – VMware Cloud On AWS」
• CSA STAR –  CAIQ ドキュメント
• G-Cloud GOV.UK Digital Marketplace
• Data Processing Addendum
• ブログ「VMware Cloud on AWS の責任共有モデル」