やりたいこと

パブリッククラウドを利用するにあたり、データセンターに対する立ち入り監査の代替となる証明を確認したい。

確認方法

「SOC1 Type II」レポートによってデータセンターに対する立ち入り訪問/監査の代替とする。尚、同資料はルートユーザ/管理者権限を保持しているユーザを利用するとAWS Artifactよりレポート期間と共に確認ができる。

以下、補足です。

補足

財団法人金融情報システムセンター（FISC）の指針にて「データセンターの立ち入り調査」と言う物理的セキュリティチェックの観点が存在し、場合によってはパブリッククラウドの利用を巡ってそこが争点になるケースがあります。

しかし、一般的なパブリッククラウド事業者と同様にAWSの方針として「FISC 安全対策基準解説書（第10版）に関するAWSの情報」の監1.5にて

AWSのデータセンターは複数のお客様をホストしており、幅広いお客様が第三者による物理的なアクセスの対象となるため、お客様による物理的なデータセンター訪問は許可していません

と明示的に立ち入り訪問ができない旨が記載されています。

しかしそれと同時にその代替手段も展開されていて

このようなお客様のニーズを満たすために、資格を持つ独立した監査人が統制の有無と運用を検証し、SOC1 Type II レポートとして証明しています。

とのこと。よって、他にも多くのコンプライアンスに関する認証がある中でも同レポートは効果のある資料となりそうです。

ちなみにSOCとはSystem and Organization Controls（SOC）の略で、SOC1は「アウトソーシング事業者の内部統制の適切性/有効性」を保証する報告書で、AzureやGoogle Cloudももちろんこれを満たしています。

以上、ご参考になれば幸いです。