SOC
概要
AWS System & Organization Control (SOC) レポートは、重要なコンプライアンス管理および目標を AWS がどのように達成したかを実証する、独立したサードパーティーによる審査報告書です。このレポートの目的は、お客様とお客様の監査人が、オペレーションとコンプライアンスをサポートするよう確立された AWS 統制を簡単に把握できるようにすることです。3 種類の AWS SOC レポートがあります。
- AWS Artifact で AWS のお客様に公開されている、AWS SOC 1 レポート。
- AWS Artifact で AWS のお客様に公開されている、AWS SOC 2 セキュリティ、可用性、機密性、プライバシーレポート。
- ホワイトペーパーとして公開されている、AWS SOC 3 セキュリティ、可用性、機密性、プライバシーレポート。
よくある質問
-
AWS SOC レポートではどのような情報が提供されますか?
SOC 1 SOC 2: セキュリティ、可用性、機密性、プライバシー
SOC 3: セキュリティ、可用性、機密性、プライバシー
レポートの内容 AWS の統制環境に関する説明、および AWS が定義した統制と目標の外部監査に関する説明 AWS の統制環境に関する説明と、セキュリティ、可用性、機密性、プライバシーに関する AICPA の信頼サービスの基準を満たす AWS 統制の外部監査に関する説明
AWS がセキュリティ、可用性、機密性、プライバシーに関する AICPA の信頼サービスの基準を満たしていることを実証する公開レポート
監査レポートの実行の基盤となる規格 SSAE No.18、Attestation Standards: Clarification and Recodification (AICPA, Professional Standards), which includes AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting。AICPA ガイド、Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) SSAE No. 18, Attestation Standards: Clarification and Recodification, which includes AT-C section 105, Concepts Common to All Attestation Engagements, and AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy (SOC 2®) TSP section 100A, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) SSAE No.18、Attestation Standards: Clarification and Recodification, which includes AT-C section 105, Concepts Common to All Attestation Engagements, and AT-C section 205, Examination Engagements TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) レポートの主目的 財務報告に係る内部統制に関連する可能性がある AWS の統制環境について、お客様に情報を提供すること
財務報告に係る内部統制 (ICOFR) の有効性に関する評価および意見について、お客様とその監査人に情報を提供すること
システムのセキュリティ、可用性、機密性、プライバシーに関連する AWS の統制環境について、ビジネスニーズのあるお客様およびユーザーに独立した評価を提供すること
システムのセキュリティ、可用性、機密性、プライバシーに関連する AWS の統制環境について、AWS の内部情報を開示せずに、ビジネスニーズのある顧客およびユーザーに独立した評価を提供すること
レポートの主な確認者 顧客管理およびその監査人 ビジネスニーズのあるユーザー こちらで公開されています AWS レポートの対象期間 12 か月:
3 月 31 日、6 月 30 日、9 月 30 日、12 月 31 日に終了12 か月:
3 月 31 日、9 月 30 日に終了12 か月:
3 月 31 日、9 月 30 日に終了 -
どの AWS のサービスが SOC レポートの対象範囲となりますか?
既に SOC レポートの対象範囲内に含まれる AWS のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。これらのサービスの使用方法や、その他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。
-
AWS SOC レポートの対象となるリージョンはどれですか?
対象範囲内のすべてのリージョンのリストは、AWS SOC 3 レポートを参照してください。
-
SOC レポートに関して、独立したサードパーティーによる AWS の監査は誰が行いますか?
Ernst & Young LLP が AWS の SOC 1、SOC 2、SOC 3 の監査を行います。
-
AWS SOC レポートはどれほどの頻度で発行されますか? また、新しいレポートはいつ公開されますか?
AWS は SOC 1 レポートを四半期ごとに、SOC 2/3 レポートを年に 2 回発行します。各レポートは 12 か月の期間を対象としています。新しい SOC レポートは、監査期間の終了から約 6〜7 週間後にリリースされます (SOC 1 のみは 2 月中旬と 8 月中旬、SOC 1/2/3 の場合は 5 月中旬と 11 月中旬)。
-
ISAE 3402 レポートはありますか?
AWS SOC 1 監査は、国際保証業務基準書第 3402 (ISAE 3402) に基づいて実行されます。ISAE 3402 レポートが必要なお客様は、AWS Artifact AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して、AWS SOC 1 Type II をリクエストしてください。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。
-
AWS SOC レポートを受け取るには、秘密保持契約 (NDA) が必要ですか?
AWS SOC 1 と SOC 2 レポートを閲覧するには、NDA が必要です。AWS SOC 3 レポートは、AWS SOC 2 レポートの公開可能な要約です。AWS SOC 3 レポートでは、AWS が SOC 2 に含まれる AICPA の信頼サービス基準をどのように満たしているかが概説されています。また、管理のオペレーションに関する外部監査人の意見が含まれています。最新の AWS SOC 3 レポートは AWS ウェブサイトで公開されています。
-
AWS SOC 1 または SOC 2 レポートをリクエストするにはどうすればよいですか?
AWS SOC 1 と AWS SOC 2 は、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用して入手できます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。
-
AWS SOC 3 レポートはどこから入手できますか?
最新の AWS SOC 3 レポートは、AWS のウェブサイトで公開されています。
-
新しいリージョンが SOC レポートの対象となるのはいつですか?
AWS は SOC 1 レポートを四半期ごとに、SOC 2/3 レポートを年に 2 回発行します。各レポートは 12 か月の期間を対象としています。次に予定されているレビューサイクルで、必要に応じて新しいリージョンを SOC レポートのスコープに含めます。