Cloud Computing Compliance Criteria Catalogue
(C5)
概要
Cloud Computing Compliance Criteria Catalogue (C5) は、Federal Office for Information Security (BSI) によってドイツで導入された、ドイツ政府支援の認定スキームです。C5 は、ドイツ政府の「Security Recommendations for Cloud Providers」のコンテキスト内で、クラウドサービスを利用する際に、組織が一般的なサイバー攻撃に対する運用上の安全性を実証するのに役立ちます。
C5 認定は、AWS のお客様やコンプライアンスアドバイザーがワークロードをクラウドに移行する際に、AWS によって実装された、C5 要件を満たすためのセキュリティコントロールを理解するために使用できます。C5 では、クラウド特有のコントロールの追加とともに、IT 基本保護法 (IT-Grundschutz) と同等の規制上定義された IT セキュリティレベルが追加されます。
C5 には、データの場所、サービスのプロビジョニング、管轄の場所、既存の認証、情報開示義務、サービスの詳細な説明に関連する追加のコントロール要件が含まれます。この情報を使用して、お客様は法的規制 (データプライバシーなど)、独自のポリシー、または脅威環境がクラウドコンピューティングサービスの使用にどのように関連しているかを検討できます。
よくある質問
すべて開く- ISO/IEC 27001:2013 – 情報セキュリティマネジメントシステム – 要求事項
- ISO/IEC-27002:2016 – IT セキュリティ手順 – 情報セキュリティ対策のガイドライン
- ISO/IEC 27017:2015 – セキュリティの手法 – クラウドサービスに関する ISO/IEC 27002 に基づく情報セキュリティコントロールの実践規範
- BSI – IT-Grundschutz-Kompendium、第 2 版 (2019 年)
- CSA – Cloud Controls Matrix 3.0.1 (CSA – Cloud Security Alliance)
- AICPA Trust Service Principles Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
- ANSSI (Agence nationale de la sécurité des systèmes d’information, National Cybersecurity Agency of France) – クラウドコンピューティングサービスのプロバイダー v.3.1 (SecNumCloud)
- IDW (Institut der Wirtschaftsprüfer, the German Institute of Certified Public Accountants) RS FAIT 5 – Statement on Financial Reporting:「Principles of Orderly Accounting for the Outsourcing of Financial Reporting-Related Services including Cloud Computing」、2015 年 11 月 4 日現在
C5 (Cloud Computing Compliance Criteria Catalogue) は、ドイツの「クラウドコンピューティング IT セキュリティ」標準です。2016 年 2 月に BSI によって設計され、最初に公表された C5 のコントロールセットにより、規制のある複雑なワークロードを AWS などのクラウドコンピューティングサービスプロバイダーに移行する際、ドイツのお客様に対する保証が向上します。
現行の C5 は 2020 年にリリースされたもので、以下の規格や出版物の要件が盛り込まれています。
C5 基準は、ドイツの国立サイバーセキュリティ当局である Bundesamt für Sicherheit in der Informationstechnik (BSI) によって 2016 年に策定されました。BSI はすべての政府システムに対するセキュリティ要件を策定し、ドイツの大部分の企業は自社の IT セキュリティ戦略を BSI 規格に合わせています。現在のバージョン (C5:2020) は 2020 年 1 月に完成しました。
欧州のお客様は、C5 レポートにおいて、C5 の基本基準および追加基準を満たすための、当社のコントロール設計の適合性および運用上の有効性に関する独立した第三者の認定をご確認いただけます。具体的には、ドイツでは、顧客が C5 基準に照らして評価されるクラウドサービスを探すことに慣れています。C5 はクラウドコンピューティングに対するあらゆる IT セキュリティ項目を取り扱いながら、IT-Grundschutz と同等レベルの IT セキュリティを網羅したフレームワークを顧客に発行します。連邦規制当局にとって、C5 認定は購買プロセスでの基本的な要件です。
AWS での C5 に関する最新情報は、AWS セキュリティブログの C5 に関する各記事でご覧いただけます。
C5 の対象となる AWS リージョンには、フランクフルト、アイルランド、ロンドン、パリ、ミラノ、ストックホルム、シンガポール、チューリッヒ、スペインに加えて、オーストリア、ベルギー、ブルガリア、クロアチア、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、オランダ、ノルウェー、ポーランド、ポルトガル、ルーマニア、シンガポール、スペイン、スウェーデン、スイス、英国のエッジロケーションが含まれます。
既に C5 の対象範囲内となっている AWS のサービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。このサービスの使用方法やその他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。
IT-Grundschutz は組織の情報の適切な保護を確立、維持するための標準です。IT-Grundschutz カタログには通常の業務プロセス、IT システム、アプリケーションを安全に守ることが記載されており、エンタープライズ自身の情報の保護を取り扱っています。C5 は、クラウドサービスプロバイダー (CSP) サービスに関するガイダンスを提供します。
AWS C5 レポートは、AWS Artifact (AWS のコンプライアンスレポートをオンデマンドで入手するためのセルフサービスポータル) を使用することで入手できます。AWS マネジメントコンソール内の AWS Artifact にサインインするか、AWS Artifact の開始方法ページで詳細をご覧ください。
2026 年 1 月、当社は、欧州連合 (EU) 域内に完全に所在し、他のすべての AWS リージョンから物理的にも論理的にも分離された、欧州向けの新しい独立クラウドである AWS European Sovereign Cloud の一般提供の開始を発表しました。専用の AWS European Sovereign Cloud C5 レポートは、AWS コントロールの設計が C5 の基本基準および追加基準を満たすのに適していることを、独立した第三者機関が証明するものです。
AWS European Sovereign Cloud C5 レポートとその対象範囲の詳細については、https://aws.eu/compliance/ にアクセスしてください。