AWS のコントロール
AWS データセンターは、セキュリティを念頭に置いて設計されており、統制により具体的なセキュリティが実現されています。データセンターを構築する前に、潜在的な脅威を検討し、実装するシステム、テクノロジー、人員がリスクを軽減し得る統制となっているかどうか、膨大な時間を費やしてその設計、実装、テストについて実施しています。お客様自身の監査要件および規制要件を満たしていただくために、当社の物理的および環境的コントロールに関するいくつかの具体的な情報を以下に示します。
セキュアな設計
AWS は、場所を選択する前に、始めに環境評価および地理的評価を実施します。洪水、異常気象、地震活動などの環境リスクを軽減するためにデータセンターの場所を慎重に選択しています。当社のアベイラビリティーゾーン間は物理的に分離されており、相互に独立して構築されています。
データセンターは、サービスレベルを維持しつつも、障害を未然に防ぐように、また障害に耐え得るように設計されています。障害時には、自動プロセスによって、影響のあったエリアからトラフィックが移動されます。 重要なアプリケーションは N+1 の基準でデプロイされています。そのためデータセンターの障害時でも、トラフィックが残りのサイトに負荷を分散させるのに充分な能力が存在することになります。
AWS は、システムの可用性を維持し、停止の場合にサービスを復元するために必要となる重要なシステムコンポーネントを特定しています。そうした重要なシステムコンポーネントは、アベイラビリティーゾーンと呼ばれる複数の独立した場所にバックアップされます。各アベイラビリティーゾーンは、高い信頼性を保ちながら、各々独立して運用するように設計されています。アベイラビリティーゾーンはお互いに接続されているため、アベイラビリティーゾーン間で自動的にフェイルオーバーすることで、中断なく実行できるようなアプリケーションを簡単に設計可能です。これにより、高いレジリエンシーと、サービスの可用性がもたらされることになりますが、それは自ずとシステムデザインの一部として機能することになります。AWS のお客様は、アベイラビリティーゾーンとデータレプリケーションの活用により、目標復旧時点と非常に短い目標復旧時間を実現し、最高レベルのサービスの可用性を達成することも可能です。
AWS はサービスの利用状況を継続的にモニタリングし、アベイラビリティーに関するコミットメントと要件をサポートするためにインフラストラクチャーを整備しています。AWS は、少なくとも月次のキャパシティープラニングモデルを維持し、インフラストラクチャーの使用と需要を評価しています。このモデルは将来の需要の計画をサポートし、情報の処理量、通信量、監査ログストレージの容量などが考慮されています。
ビジネスの継続性と災害復旧
AWS の事業継続計画は、環境に起因するサービス障害の回避および軽減措置について記載されています。それには、イベントが起こる前、イベントの最中、およびイベント後の詳しいステップを定めるものです。事業継続計画は、さまざまなシナリオのシミュレーションを含むテストによってサポートされています。テスト中およびテスト後は、継続的な改善を目的として、AWS がチームとプロセスの対応、是正処置、得られた教訓を文書により記録しています。
AWS は、感染症の爆発的な流行の脅威に対して迅速に対応するための準備として、パンデミック対応ポリシーと手順を災害復旧計画に組み込んでいます。関連したリスクに関する軽減のためのストラテジーには、重要なプロセスをリージョン外のリソースに移動するために、どのようにスタッフを配置するかという代替モデルと、重要なビジネス業務をサポートするための危機管理の発動計画が含まれます。パンデミック計画は、国際的な健康関連機関や規制に従っていますが、国際的な関連機関との連絡窓口等も含まれています。
物理アクセス
AWS は、権限を持つ担当者のみにデータセンターへの物理的なアクセスを許可しています。データセンターへのアクセスを必要とするすべての担当者は、まずアクセスを申請し、業務上の正当性を詳しく説明する必要があります。これらの申請は最少権限の原則に基づき許可されますが、個人がアクセスを必要とするデータセンターのレイヤーを指定する必要があり、アクセスの期限が設定されます。申請は権限を持つ人物のみが審査して承認し、請求した期限が過ぎた後は、アクセスが取り消されます。入場を許可された担当者は、その権限で指定されたエリアのみに入場が制限されます。
第三者のアクセスについては、承認された AWS の担当者が申請する必要があり、その担当者は第三者によるアクセスを申請し、業務上の正当性を詳しく説明する必要があります。これらの申請は最少権限の原則に基づいて付与されます。申請では個人がアクセスを必要とするデータセンターのレイヤーを指定する必要があり、期限が設定されます。これらの申請は権限を持つ人物のみが審査して承認し、請求した期限が過ぎた後は、アクセスが取り消されます。入場を許可された担当者は、その権限で指定されたエリアのみ入場できます。訪問者バッジを与えられた担当者は、現場への到着後身分証明書を提示します。署名後に入場が許可され、権限を持つスタッフが常に付き添います。
AWS GovCloud (米国) のデータセンターへの物理アクセスは、米国市民であると確認された従業員に限定されます。
モニタリングとログ記録
データセンターへのアクセスは、定期的に確認されます。 従業員がAmazon またはアマゾン ウェブ サービスの従業員でなくなった場合には、従業員記録が Amazon の HR システムで終了処理され、アクセス権は自動的に取り消されます。さらに、承認された申請期間に従って従業員または請負業者のアクセスの有効期限が切れると、その後に Amazon またはアマゾン ウェブ サービスの従業員である場合であっても、そのアクセス権限は速やかに取り消されます。
AWS データセンターへの物理アクセスは、記録、監視され、そうした情報は保持されることになります。AWS は論理的および物理的なモニタリングシステムから取得した情報を、必要に応じてセキュリティを向上させるために相関性を確認します。
AWS ではグローバルセキュリティオペレーションセンターを使用してデータセンターを監視しています。このグローバル・セキュリティ・オペレーションセンターは、モニタリング、対処優先順位の決定、および決定された処理を実施について責任をもっています。データセンターのアクセスを管理、モニタリングし、ローカルのチームと関連サポートチームと協力し、対処優先順位の決定、コンサルティング、分析、送信を行い、24 時間 365 日グローバルレベルのサポートを提供しています。
監視と検出
サーバールームに物理的にアクセスできる場所は、閉回路テレビカメラ (CCTV) によって録画されています。画像イメージは、法律およびコンプライアンスに関する要件に従って保持されます。
物理的アクセスは、建物の入り口において、サーベイランスシステム、侵入検知システム、その他の電子的システムを用いて、専門の保安要員によって厳重に管理されています。権限を付与されたスタッフは、多要素認証のメカニズムを利用してデータセンターにアクセスします。サーバールームへの入り口は、ドアがこじ開けられた場合や開け放したままの場合にデバイスでアラームを鳴らし、インシデント対応を開始するように設置された装置で保護されています。
データレイヤー内の場所に電子的手段による進入検出システムが設置され、セキュリティインシデントのモニタリング、検出、および適切な人員への自動的なアラート通知が行われます。サーバールームの入り口および出口は、入場または退場が許可される際に多要素認証を各個人に求める装置で保護されています。これらのデバイスは、許可なくドアがこじ開けられた場合や開け放したままの場合にはアラームを鳴らします。また、ドアのアラームデバイスは、多要素認証を提供せずにデータレイヤーに入場または退場した事例を検出するよう設定されてもいます。アラームは即時のログ記録、分析、および応答のため、24 時間 365 日にわたり AWS セキュリティオペレーションセンターに即時に送信されます。
デバイスの管理
AWS のアセットは、AWS が所有するアセットの所有者、場所、ステータス、メンテナンス、および 関連する詳細情報を保存および追跡するインベントリ管理システムを通じて、一元管理されています。アセットは、調達後にスキャンおよび追跡され、メンテナンス中のアセットは、所有権、ステータス、およびメンテナンス終了時に、チェックおよびモニタリングされます。
ユーザーデータの保存に使用されるメディアストレージデバイスは AWS によって「クリティカル」と分類され、そのライフサイクルを通じて非常に重要な要素として適切に取り扱われます。AWS では、デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている方法を使用してメディアを廃棄します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。
運用サポートシステム
データセンターの電力システムは、完全に冗長化され、運用に影響を与えることなく管理が可能となっています。1 日 24 時間体制で、年中無休で稼動しています。AWS は、施設内の重要かつ不可欠な業務に対応するために、電力障害時に運用を維持するための電力供給を可能とするバックアップ電源がデータセンターに備わっていることを保証しています。
AWS データセンターは、環境を制御するとともに、サーバーやその他のハードウェアの適切な運用温度を保ち、過熱を防ぎ、サーバー停止の可能性を減らすためのメカニズムを使用しています。作業員とシステムが、温度と湿度を適切なレベルになるよう監視してコントロールしています。
AWS データセンターは、自動火災検出システムおよび鎮火システムが設置されています。火災検出システムにおいては、ネットワーキングスペース、機械的スペース、インフラストラクチャースペース内で煙検出センサーが使用されています。また、これらのエリアは鎮火システムによっても保護されています。
漏水を検出するため、AWS は水があることを検出するシステムをデータセンターに備えています。水が検出された場合、それ以上の水害を防ぐために水を除去するメカニズムが備わっています。
インフラストラクチャーのメンテナンス
AWS は電気および機械に関連する設備をモニタリングし、予防的なメンテナンスを実施して、AWS データセンター内のシステムの継続的な運用性を維持しています。機器のメンテナンス手順は資格を持っている担当者が実行し、文書化されたメンテナンススケジュールに従って完了されます。
AWS は、問題の速やかな特定を可能にするため、電気的、機械的なシステムおよび設備をモニタリングしています。これは継続的な監査ツールと、建物管理および電気的なモニタリングシステムを通じて提供される情報を利用して行われます。予防的メンテナンスが実行され、設備の運用に関しての継続性が保たれています。
ガバナンスとリスク
AWS セキュリティオペレーションセンターは、データセンターの脅威と脆弱性の確認を定期的に実施しています。潜在的な脆弱性の継続的な評価と軽減については、データセンターのリスク評価を通じて実施されます。この評価は、ビジネス全体に対して関連するリスクの特定と管理に使用されるエンタープライズレベルのリスク評価プロセスに加えて実行されます。また、このプロセスでは地域毎の規制および環境リスクを考慮しています。
AWS の第三者レポートに文書化されているように、AWS データセンターに対する第三者の検証によって、AWS がセキュリティ認証取得に必要となるルールを確立するためのセキュリティ対策を適切に実装していることが保証されます。コンプライアンスプログラムとその要件により、外部の監査人はメディアの廃棄のテスト、監視カメラの録画映像の確認、データセンターの入り口と通路の監視、電子アクセス制御デバイスのテスト、データセンターの機器の調査などを実施します。