セキュリティ・ガバナンス・コンプライアンス

AWSのクラウドセキュリティ・ガバナンス・コンプライアンスは、AWSワークロードを安全に保ち、監査可能にし、法的義務に適合させる三本の柱である。セキュリティガバナンスコンプライアンスは、予防的コントロール（誰が何をできるか）、検知的コントロール（誰が何をしたか）、コンプライアンスプログラム（AWSがどの規制標準の監査を受けたか）を包括する。CLF-C02試験のタスクステートメント2.2では、AWS Config、AWS Organizations、AWS Control Tower、AWS CloudTrail、AWS Artifact、AWS KMS、および主要なコンプライアンスプログラム（SOC、PCI DSS、HIPAA、ISO、FedRAMP、GDPR）の識別と、各サービスがいつ適用されるかの理解が求められる。

AWSクラウドセキュリティ・ガバナンス・コンプライアンスとは何か？

セキュリティガバナンスコンプライアンスは、AWS文書とCLF-C02試験ガイド全体で使われる包括的な用語であり、統合されたケイパビリティセットを表す。セキュリティとはデータ・システム・アイデンティティを保護することである。クラウドガバナンスとは、数十から数千のAWSアカウントがポリシーと整合性を保ち続けるためのガードレールを設定することである。コンプライアンスプログラムとは、外部で監査された標準にワークロードをマッピングし、規制当局・監査人・顧客がAWS上で運営する内容を信頼できるようにすることである。

Cloud Practitionerレベルにおいて、セキュリティガバナンスコンプライアンスはコードを書くことではない。どのAWSサービスまたはコンプライアンスプログラムがどの問題を解決するかを認識することが重要である。試験問題は典型的に「ある企業がXを必要としている — どのAWSサービス／プログラムを使うべきか？」という形式をとる。AWS Config（構成履歴）、AWS Organizations（マルチアカウントポリシー）、AWS CloudTrail（API監査ログ）、AWS Artifact（コンプライアンスレポートのダウンロード）、AWS KMS（暗号化キー）の境界を暗記すれば、タスク2.2のほぼすべての質問に確実に答えられる。

CLF-C02においてセキュリティガバナンスコンプライアンスが重要な理由

ドメイン2（「セキュリティとコンプライアンス」）はCLF-C02のウェイトの30%を占め、単一ドメインとして最大である。ドメイン2内では、タスク2.2が残りすべてのセキュリティタスクの枠組みを結びつける「概念」タスクである。AWSのクラウドガバナンスはすべてのサービスに関わるため、試験作成者は同じ小さな語彙から何百もの問題を生成できる。この語彙を一度習得すれば、不均衡に多くの正解を得られる。

このトピックと隣接トピックのスコープ

セキュリティガバナンスコンプライアンスは、責任共有モデル（タスク2.1）やアイデンティティとアクセス管理（IAM — タスク2.3）、セキュリティサービスカタログ（GuardDuty、Inspector、Macie — タスク2.4）とは別物である。このトピックではガバナンスサービス（Config、Organizations、Control Tower）、監査サービス（CloudTrail）、暗号化プリミティブ（KMS）、コンプライアンスプログラムに焦点を当てる。シナリオを読む際はこの境界線を意識して読むこと。

やさしい解説: AWSクラウドセキュリティ・ガバナンス・コンプライアンス

専門用語を並べるだけでは、セキュリティガバナンスコンプライアンスがいかに直感的であるかが見えにくい。三つの比喩で概念を定着させよう。

Analogy 1 — 役所の庁舎（入退館管理・監視カメラ・耐震証明書）

大きな官公庁の庁舎を思い浮かべてほしい。セキュリティとは、入口の自動ドアと職員が押すIDカードリーダーだ — それがAWS KMSの暗号化とIAM認証に相当する。ガバナンスとは、庁舎管理規則の「全フロア禁煙、各テナントは消火器を常備すること」だ — それがAWS OrganizationsのSCP（サービスコントロールポリシー）とAWS Configルールに相当する。コンプライアンスとは、ロビーに貼られた官公庁検査機関発行の耐震証明書だ — それがAWS Artifactのダウンロード可能レポート（SOC、ISO、PCI）に相当する。庁舎の管理者が防火基準を作ったわけではない。政府の規制機関が作ったのだ。AWSがHIPAAを作ったわけではない。米国保健福祉省が作ったのだ。AWSはただ監査を受け、その証明書を渡してくれる。

Analogy 2 — 調理場の監視カメラとレシピバインダー

商業厨房を運営しているとする。各調理台の上には、料理人が行うすべての動作を録画する監視カメラがある — それがAWS CloudTrailであり、すべてのAPI呼び出しの監査ログだ。壁には温度計と湿度センサーがあり、その値がダッシュボードに流れ込む — それがAmazon CloudWatchであり、運用監視システムだ。棚には、厨房内のすべての設備とそのバージョンを、変更が生じた瞬間に更新するリングバインダーが置いてある — それがAWS Configであり、構成履歴サービスだ。監査人はカメラの録画（CloudTrail）とバインダー（Config）を読む。料理人はダッシュボード（CloudWatch）を読む。CloudTrailとCloudWatchを混同する受験者は、「誰が何をしたか」と「鍋の温度は何度か」を取り違えるため試験で点を落とす。

Analogy 3 — 郵便制度と封印された封筒

AWSクラウドガバナンスを、国の郵便制度として考えてみよう。AWS Organizationsは郵便局の本部だ。各支局（AWSアカウント）の存在を決め、SCPを通じて各支局が何を送れるかを決める。AWS Control Towerは新しい支局がオープンするときに受け取るスタートアップキットだ — あらかじめ設定された棚、看板、ポリシーポスター、すなわちガードレールが最初から組み込まれたマルチアカウントランディングゾーンだ。AWS KMSは封印封筒サービスだ。すべての手紙（S3オブジェクト、EBSボリューム、RDS行）に改ざん防止の封印を施し、対応するキーを持つ受取人だけが読めるようにする。AWS Artifactは、ロビーのガラスケースに並べられたISO 27001・SOC 2などの標準を満たすことを証明した郵便局の認定書だ。コンプライアンスプログラムとは、外部機関が定めたその標準自体だ。

Core Operating Principles — AWSコンプライアンスプログラムと共有ガバナンス

セキュリティガバナンスコンプライアンスは、共有コンプライアンス・デフォルト安全・監査ファーストの三つの重複する原則のもとで機能する。

共有コンプライアンス

AWSの責任共有モデルのもとで、AWSはクラウドに対してコンプライアンスを満たし、お客様はクラウド内でコンプライアンスを満たす。AWSは標準ごとに一度監査を受け、レポートを公開する。お客様は物理データセンター・ハイパーバイザー・グローバルネットワークのコントロールをそのまま継承する。一方、データ分類・IAMポリシー・暗号化の選択・アプリケーションコードについては、引き続きお客様の責任となる。すべてのCLF-C02コンプライアンス質問はこの継承モデルを前提としている。

AWS Control Towerによるデフォルト安全

AWS Control Towerは、ガードレールがデフォルトでオンになったマルチアカウントランディングゾーンを構築する。すべてのアカウントでCloudTrailが有効になり、AWS Configが稼働し、集中ログアーカイブが用意され、予防的SCPのセットが適用される。ガバナンスをあとから追加するのではなく、アカウント作成時点から組み込む。

監査ファーストの設計

AWSでのすべての操作 — コンソール上の人間の操作であれ、APIを通じたLambda関数の呼び出しであれ — はAWS Identity and Access Managementを経由する。すべてのAPI呼び出しはAWS CloudTrailに記録される。すべてのリソース構成はAWS Configによって追跡される。つまり、開発者が追加のコードを書かなくても、コンプライアンスプログラムはデフォルトでエビデンストレイルを持つ。

AWS Artifact — コンプライアンスレポートと契約書の入手場所

AWS Artifactは、AWS Management Console内のセルフサービスポータルであり、AWSのコンプライアンスレポート（Artifact Reports）と法的契約書（Artifact Agreements）をホストする。監査人からAWSのSOC 2 Type IIレポートを求められた場合、AWS Artifactにログインし、守秘義務条件に同意し、PDFをダウンロードするだけでよい。サポートチケットは不要だ。

Artifact Reports

Artifact ReportsにはSOC 1、SOC 2、SOC 3、ISO 27001、ISO 27017、ISO 27018、PCI DSSコンプライアンス証明書、FedRAMPパッケージなど数十種類が含まれる。各レポートはAWSインフラストラクチャを検査した独立した監査人（Ernst & Young、Deloitteなど）によって作成される。

Artifact Agreements

Artifact Agreementsは、AWSとお客様の間で締結する法的文書である。HIPAAビジネスアソシエイト契約（BAA）、GDPRデータ処理補足契約（DPA）、PCI DSS責任概要などが含まれる。契約に同意することで法的なスイッチが切り替わる — たとえばBAAに同意することで、AWSアカウントがHIPAA適格サービスを使ってPHIを保存できるようになる。

コンプライアンスワークフローにおけるArtifactの位置づけ

AWS ArtifactはコンプライアンスをもたらさないA。Artifactは文書配布サービスだ。実際のセキュリティガバナンスコンプライアンスの作業は、AWS Config（リソースが正しく設定されているか？）、CloudTrail（誰が何を変更したか？）、IAM（誰が何をできるか？）で行われる。Artifactは監査人に見せるもの、ConfigとCloudTrailはそれを証明するものだ。

AWSがサポートするコンプライアンスプログラム

AWSは140以上のコンプライアンスプログラムをサポートするが、CLF-C02試験では主要なコンプライアンスプログラムとそれが対象とする業界を認識するだけでよい。

SOC 1、SOC 2、SOC 3

SOCはSystem and Organization Controlsの略で、米国公認会計士協会（AICPA）が発行する。SOC 1は財務報告コントロールを対象とし、SOC 2はセキュリティ・可用性・機密性・処理の完全性・プライバシーを対象とし、SOC 3はSOC 2の一般公開向け要約版である。AWSはAWS Artifactで三種類すべてを公開している。

PCI DSS

Payment Card Industry Data Security Standard（支払カード業界データセキュリティ標準）は、クレジットカードデータを保存・処理・送信するすべてのワークロードに適用される。AWSはLevel 1 PCI DSSサービスプロバイダー — 最上位の加盟店レベル — であり、コンプライアンス証明書をAWS Artifactで公開している。

HIPAA

米国医療保険の相互運用性と説明責任に関する法律（HIPAA）は、保護医療情報（PHI）を管轄する。AWSはHIPAA適格サービスリストとAWS Artifact経由のビジネスアソシエイト契約書を提供する。PHIを扱えるのはHIPAA適格サービス（EC2、S3、RDS、Lambdaなど多数）のみである。

ISO 27001、ISO 27017、ISO 27018

ISO 27001は情報セキュリティマネジメントの国際標準だ。ISO 27017はクラウド固有の拡張規格だ。ISO 27018はパブリッククラウドにおける個人識別情報（PII）の保護を扱う。AWSは三種類すべての認証を取得している。

FedRAMP

米国連邦リスク・認可管理プログラム（FedRAMP）は、米国連邦機関が使用するクラウドサービスの認可フレームワークだ。AWSは専用のAWS GovCloud（US）リージョンおよび標準の商用リージョンにおいてFedRAMP ModerateおよびFedRAMP Highの認可を取得している。

GDPR

欧州連合の一般データ保護規則（GDPR）は、EU居住者の個人データを規制する。AWSはAWS Artifact経由でGDPR準拠のデータ処理補足契約書を提供し、お客様のGDPR義務を支援するツール（AWS Config、AWS Audit Manager）を提供する。GDPRのようなコンプライアンスプログラムでは、お客様が適切な技術的・組織的対策を実施する必要がある。AWSはプラットフォームを提供し、お客様がコントロールを実装する。

データ所在地とデータ主権 — リージョンを選択する

データ所在地とはデータの物理的な場所であり、データ主権とはそれに適用される法的管轄だ。AWSのセキュリティガバナンスコンプライアンスは、明示的なリージョン選択によって両方を尊重する。

リージョンレベルのデータコントロール

お客様が選択したリージョンにデータは留まる。eu-west-1（アイルランド）にS3バケットを作成すると、明示的にどこかへコピーするか、マルチリージョンサービスを使用しない限り、オブジェクトはEUベースのAWSデータセンターから出ない。これはAWSによって強制されるものであり、約束に過ぎないものではない。

リージョンをまたぐサービス

設計上グローバルに動作するサービスがいくつかある — IAM、Route 53、CloudFront、AWS Organizations — そのため、これらのメタデータは単一リージョンに存在しない。真の単一リージョン展開のためには、SCPとAWS Configルールを組み合わせて、承認されたリージョン外でのリソース作成を拒否する。

AWS GovCloudとソブリンクラウドオプション

FedRAMP HighおよびITARコンプライアンスを必要とする米国政府ワークロード向けに、AWSはAWS GovCloud（US）リージョンを運営する — 商用AWSパーティションから物理的・論理的に分離されている。AWSはまた、EU顧客に追加のデータ主権保証を提供するAWS European Sovereign Cloudイニシアチブを開始した。試験のクラウドガバナンス質問では、リージョン選択がデータ所在地の主要ツールであることを覚えておく。

よくある所在地質問のパターン

「ある企業はドイツのみに顧客データを保存しなければならない」という問題では、eu-central-1（フランクフルト）リージョンを選択し、他のリージョンでのリソース作成を拒否するSCPを適用することが正解だ。暗号化についての言及は誤りだ。暗号化は機密性を保護するものであり、所在地を保護するものではない。

暗号化 — AWS KMSとS3サーバーサイド暗号化

暗号化はセキュリティガバナンスコンプライアンスの主力だ。CLF-C02のシナリオで「保存時」または「転送時」の保護が言及されたら、答えはほぼ常にAWS Key Management Service（KMS）に関係する。

AWS KMSの基礎

AWS KMSは、100以上のAWSサービスにまたがってデータを暗号化するために使用される暗号化キーを作成・管理するマネージドサービスだ。KMSキー（旧称Customer Master Keys、CMKs）は試験目的では三種類に分かれる：AWSが所有するキー（不可視、AWSが管理、無料）、AWSマネージドキー（アカウント内で可視、AWSがローテーション）、カスタマーマネージドキー（お客様が作成・ローテーション・ポリシーを設定）。

AWSマネージドキーとカスタマーマネージドキーの違い

AWSマネージドキーにはaws/s3やaws/ebsのような名前がある。AWSがサービス・アカウント・リージョンごとに一つ作成し、年次でローテーションし、キーストレージ料金を請求しない。カスタマーマネージドキーは、キーポリシー・ローテーションスケジュール・グラントを制御できる — シナリオに「カスタムキーローテーション」「クロスアカウントキー共有」「即時アクセス取り消し」とあれば、カスタマーマネージドキーを選択する。

S3サーバーサイド暗号化の選択肢

Amazon S3は四種類のサーバーサイド暗号化をサポートする。SSE-S3はS3内のAWSマネージドキーを使用する。SSE-KMSはKMSキー（AWSマネージドのaws/s3またはカスタマーマネージド）を使用し、CloudTrail経由でオプションの監査が可能だ。SSE-Cはすべてのリクエストにお客様が供給するキーを使用する。DSSE-KMSは非常に機密性の高いデータのためにデュアルレイヤーサーバーサイド暗号化を実行する。2023年以降、新しいS3オブジェクトのアップロードはすべてSSE-S3でデフォルト暗号化される — オプトインは不要だ。

転送時の暗号化

転送時の暗号化にはTLS（SSL）を使用する。すべてのAWS APIエンドポイントはHTTPSを受け入れる。AWS Certificate Manager（ACM）は、CloudFront・Application Load Balancer・API Gatewayで使用するTLS証明書を発行・管理する — これらのサービスで使用する場合は追加料金なしだ。

AWS CloudHSM

AWS CloudHSMは、FIPS 140-2 Level 3シングルテナントハードウェア分離を必要とする顧客（金融サービス・防衛）向けのハードウェアセキュリティモジュール（HSM）サービスだ。ほとんどの顧客はKMSを使用する。CloudHSMは上級オプションにすぎない。

ガバナンスサービス — AWS Config

AWS Configは構成履歴とコンプライアンス評価のサービスだ。「構成を追跡する」または「構成ルールを適用する」というCLF-C02のクラウドガバナンス質問はすべてAWS Configに対応する。

AWS Configが記録するもの

AWS Configは、AWSリソース（EC2インスタンス、セキュリティグループ、S3バケット、IAMポリシーなど）の構成状態を継続的に記録し、構成スナップショットと完全な変更履歴を保存する。午前3時にセキュリティグループがポート22を世界に公開した場合、Configは変更前後の状態をタイムスタンプと変更を行ったIAMプリンシパルとともに記録する。

AWS Configルール

AWS Configルールは、記録された構成を期待される状態に照らして評価する。AWSは数十種類のマネージドルール（例：s3-bucket-public-read-prohibited、encrypted-volumes、root-account-mfa-enabled）を提供する。AWS Lambdaを使ってカスタムルールを作成することもできる。リソースが非準拠状態に入ると、Configはダッシュボードでフラグを立て、AWS Systems Manager Automationドキュメントを通じて修復をトリガーできる。

AWS Configコンフォーマンスパック

コンフォーマンスパックは、コンプライアンスフレームワーク（NIST 800-53、PCI DSS、HIPAAオペレーショナルベストプラクティス）を満たすために束ねたConfigルールと修復アクションのコレクションだ。ワンクリックでコンフォーマンスパックをデプロイすれば、AWS Configは即座に数十のルールの評価を開始する。

AWS Config vs AWS CloudTrail

AWS Configは「構成はどのようなものだったか？」に答える。AWS CloudTrailは「誰が変更したか？」に答える。両者は補完し合う。セキュリティ監査人は通常両方を必要とする。CloudTrailはアイデンティティを証明し、Configは状態を証明する。

ガバナンスサービス — AWS OrganizationsとService Control Policies

AWS Organizationsは、AWSクラウドガバナンススタックの最上位に位置するマルチアカウント管理サービスだ。企業がアカウント数を増やすにつれ、Organizationsは不可欠となる。

組織単位（OU）と階層

Organizationsはアカウントを組織単位（OU）にグループ化でき、管理アカウントをルートとするツリー構造を形成する。典型的なOU：Security、Sandbox、Production、SDLC、Suspended。各OUは親からポリシーを継承できる。

Service Control Policies（SCP）

Service Control Policiesは、AWSクラウドガバナンスの強力なハンマーだ。SCPは、対象アカウント内のどのIAMプリンシパルも行使できる最大権限を定義する。IAMポリシーが「Allow s3:*」と言っていても、SCPが「Deny s3:DeleteBucket」と言えば、拒否が勝つ。SCPは権限を付与しない — 制約するだけだ。

連結請求とボリュームディスカウント

Organizationsはすべてのメンバーアカウントの請求を自動的に集約し、管理アカウントに一枚の請求書を送る。連結請求はアカウントをまたいで使用量を合計するため、ボリュームティアやプールされたリザーブドインスタンス／Savings Plansの特典を受けられる。

AWS Organizations vs IAM

IAMはひとつのアカウント内のアイデンティティと権限を制御する。Organizationsは多数のアカウントにまたがるポリシーを制御する。SCPはIAMポリシーではない — IAMの上位に位置するOrganizationsポリシーだ。プリンシパルの有効な権限は、SCP・IAMアイデンティティポリシー・リソースポリシー・権限境界・セッションポリシーの交差だ。

ガバナンスサービス — AWS Control Tower

AWS Control Towerは、AWSベストプラクティスのガードレールに準拠したマルチアカウントAWSランディングゾーンを構築する最速の方法だ。AWS Organizationsの上に位置する。

Control Towerがプロビジョニングするもの

新たにデプロイしたControl Towerランディングゾーンには、管理アカウント、ログアーカイブアカウント（CloudTrailとConfigのログを集中管理）、セキュリティ監査アカウント（AWS Security HubとGuardDutyの集約）、共有サービスアカウント、そしてAccount Factoryを使った新規アカウントのファクトリーが含まれる。AWS Config、AWS CloudTrail、AWS IAM Identity Center、および予防的・検知的ガードレールのカタログを自動的に有効にする。

ガードレール

Control Towerのガードレールは、SCPまたはAWS Configルールとして表現された事前パッケージ化されたルールだ。必須のガードレールは無効にできない — 例えば「CloudTrailへの変更を禁止する」は必須だ。強く推奨されるガードレールと任意のガードレールはOUごとに切り替えられる。

Account Factory

Account Factoryは、エンドユーザーが起動してベースラインコントロールがすべて適用済みの新しいAWSアカウントを発行できるService Catalogプロダクトだ。これはアドホックなアカウント作成を置き換え、新しいアカウントが基本的なAWSクラウドガバナンスカバレッジを欠くことがないようにする。

Control Tower vs AWS Organizations

AWS Organizationsは生のAPIプリミティブだ。AWS Control Towerはそれを囲む意見のある包装 — ガードレール＋集中ログ＋Account Factoryだ。試験シナリオで「ベストプラクティスのガードレールが最初から整ったマルチアカウントランディングゾーンをデプロイしたい」とあれば、答えはControl Towerだ。「特定のOUにポリシーを適用したい」とあれば、答えはOrganizationsだ。

監査とログ — AWS CloudTrail

AWS CloudTrailは、AWSで最も重要な監査サービスだ。すべてのAWSセキュリティガバナンスコンプライアンスレビューは、CloudTrailがオンであることを前提とする。

CloudTrailが記録するもの

CloudTrailは、アカウントで行われたすべてのAPI呼び出しを記録する — コンソール操作、CLIの実行、アプリケーションからのSDK呼び出し、AWSの内部サービス呼び出し。各イベントには、呼び出し元のアイデンティティ、ソースIP、タイムスタンプ、リクエストパラメータ、レスポンスが含まれる。イベントは三つのカテゴリに分かれる：管理イベント（コントロールプレーン — IAM変更、セキュリティグループ編集）、データイベント（S3オブジェクトの読み取り、Lambdaの実行 — オプトイン、より大量）、インサイトイベント（異常なAPI行動）。

CloudTrailトレイル

トレイルは、CloudTrailイベントを永続的なストレージ（Amazon S3バケット、オプションでCloudWatch Logs、オプションでEventBridge）に配信する設定だ。一つのトレイルが全リージョンと組織内の全アカウントにまたがることができる — クラウドガバナンスのゴールドスタンダード設定だ。

CloudTrail Lake

CloudTrail Lakeは、CloudTrailイベントをインデックス化し、データをサードパーティのSIEMにエクスポートせずにSQLクエリで調査を実行できるマネージドデータレイクだ。インシデント時のフォレンジック作業に有用だ。

CloudTrail vs CloudWatch — 定番の混同

CloudTrailとCloudWatchは互換性がない。CloudTrailは監査ログ — 誰が何を、いつ、どこから行ったか。CloudWatchは運用監視プラットフォーム — メトリクス、アラーム、ダッシュボード、アプリケーションログ集約。コンプライアンス監査人はCloudTrailを読む。運用エンジニアはCloudWatchを読む。CLF-C02試験で「監査」「誰が行った」「フォレンジック」「否認防止」「コンプライアンスエビデンス」とある質問はCloudTrailを指す。「CPU使用率」「アラーム」「ダッシュボード」「アプリケーションログ」「オートスケーリングトリガー」とある質問はCloudWatchを指す。

AWS Audit Manager — コンプライアンスエビデンスの収集

AWS Audit Managerは、コンプライアンス評価のエビデンス収集プロセスを自動化する。Audit ManagerはSOC 2・PCI DSS・HIPAA・GDPR・ISO 27001・FedRAMPなどのフレームワークを内蔵している。継続的にエビデンス（AWS Config・CloudTrail・Security Hubなどのソース）を収集し、外部監査人に渡せるアセスメントレポートを生成する。Audit Managerは時間節約のツールであって前提条件ではない — Audit Managerがなくてもセキュリティガバナンスコンプライアンスは機能するが、Audit Managerは事務作業を高速化する。

AWS Well-Architected Security Pillarとの整合

AWS Well-Architected FrameworkのSecurityピラーは、セキュリティガバナンスコンプライアンスサービスが支援する設計原則を体系化する。ピラーの七つの設計原則には、「強固なアイデンティティ基盤を実装する」（IAM、Organizations）、「トレーサビリティを有効にする」（CloudTrail、Config）、「全レイヤーでセキュリティを適用する」（Security Groups、WAF、KMS）、「セキュリティのベストプラクティスを自動化する」（Configルール、Control Tower）、「転送中および保存中のデータを保護する」（ACM、KMS）、「データから人を遠ざける」（自動化）、「セキュリティイベントへの備え」（インシデント対応プレイブック）が含まれる。「このシナリオはどのピラーに関連するか？」という質問で、セキュリティ・ガバナンス・コンプライアンスのシナリオはSecurityピラーに対応する。

覚えるべき数字と重要な事実

CLF-C02のAWSクラウドガバナンスとコンプライアンスプログラムでは深い数値的な習得は必要ないが、いくつかの事実は繰り返し登場する。

• AWSは140以上のコンプライアンスプログラムをサポートする（おおよその数 — 試験で正確な数を聞かれることはほぼない）。
• CloudTrailは、トレイルを設定しているかどうかにかかわらず、イベント履歴に直近90日間の管理イベントを無料で保持する。
• AWS Configは数分以内に構成変更をキャプチャし、指定したS3バケットに履歴を保存する。
• SCPはルートOU・子OU・アカウントレベルでアタッチでき、下方にカスケードする。
• AWS Control TowerはAWS Organizationsが必要だ。スタンドアロンのサービスではない。
• KMSキーはリージョナルだ — us-east-1のキーはeu-west-1では使えない。
• AWS Artifactは無料だ。AWS Management Console経由でアクセスする。

よくある試験の罠

CloudTrail vs CloudWatch以外にも、セキュリティガバナンスコンプライアンス質問でCLF-C02受験者が失点するパターンがある。

AWS Artifact vs AWS Config

AWS ArtifactはAWSのサードパーティ監査レポートをダウンロードする場所だ。AWS Configはお客様自身のリソース構成状態を追跡する場所だ。回答の選択肢でよく入れ替わる。

AWS Organizations vs AWS Control Tower

Organizationsは生のマルチアカウントプリミティブ（アカウント、OU、SCP、連結請求）だ。Control TowerはOrganizationsの上に構築された意見のあるランディングゾーンファクトリーであり、組み込みのガードレール・集中ログ・Account Factoryを備える。「ベストプラクティスを初期設定から備えた新しいマルチアカウント環境をデプロイする」とあれば、Control Towerを選ぶ。「既存のアカウントにポリシーを適用する」とあれば、Organizationsを選ぶ。

コンプライアンス vs セキュリティ vs ガバナンスの用語

コンプライアンスプログラムは外部標準だ（SOC、PCI、HIPAA）。セキュリティサービスはコントロールを実装する（KMS、IAM、WAF）。クラウドガバナンスは両者を調整するポリシーレイヤーだ（Config、Organizations、Control Tower）。試験では語彙を直接テストすることがある。

KMSカスタマーマネージドキーとAWSマネージドキーの違い

カスタマーマネージドキーはローテーションとポリシー制御を提供する。AWSマネージドキーは自動的で不可視だ。シナリオに「すべてのキー使用を監査する能力」とあれば — どちらでも可能だが、カスタマーマネージドキー＋CloudTrailの方がより簡単でカスタマイズしやすい。

ルートアカウントとSCP

SCPはメンバーアカウントのルートユーザーでさえも制約できる。ただし、SCPはAWS Organizationsの管理アカウント（支払いアカウント）には適用されない。これは稀に登場する細かい罠だ。

セキュリティガバナンスとアクセス管理のスコープ境界

タスク2.2はAWSクラウドガバナンスとコンプライアンスプログラムを扱う。タスク2.3はアクセス管理（IAM、IAM Identity Center）を扱う。採点のためにこの境界が重要だ。

セキュリティガバナンスコンプライアンスのタスク2.2が所有するもの：AWS Config、AWS Organizations、SCP、AWS Control Tower、AWS CloudTrail、AWS Artifact、AWS KMS、ACM、コンプライアンスプログラム、データ所在地。

タスク2.3が所有するもの：IAMユーザー、IAMグループ、IAMロール、IAMポリシー、MFA、ルートアカウントの保護、IAM Identity Center（SSO）、フェデレーテッドアクセス。

重複するのはAWS Organizationsだ。Organizationsはアカウントをまたいだクラウドガバナンスを強制し（タスク2.2）、同時にIAM Identity Centerの統合を通じてアイデンティティにも影響を与える（タスク2.3）。いずれかのタスクで問われる可能性がある — 試験はどちらの解釈でも減点しない。

練習問題リンク — タスク2.2対応演習

AWS セキュリティガバナンスコンプライアンスに関するCLF-C02の試験問題はこのような形式で出ると予想される：

1. 「ある企業が監査人のためにAWSのSOC 2レポートをダウンロードする必要がある。」答え：AWS Artifact。
2. 「ある企業が直近90日間にAWSアカウントで行われたすべてのAPI呼び出しを一か所で確認したい。」答え：AWS CloudTrail。
3. 「セキュリティチームがS3バケットが公開読み取り可能になったときにアラートを受けたい。」答え：AWS Configルール（s3-bucket-public-read-prohibited）。
4. 「ある企業がベースラインのガードレールを備えた新しいマルチアカウント環境をデプロイする必要がある。」答え：AWS Control Tower。
5. 「コンプライアンス担当者が本番OUのいかなるAWSアカウントもCloudTrailトレイルを削除できないことを確保したい。」答え：AWS OrganizationsのSCP（サービスコントロールポリシー）。
6. 「AWSサービスをまたいで保存時データを暗号化するためのキーを提供するサービスはどれか？」答え：AWS KMS。
7. 「ある企業がEU市民データについてAWSにデータ処理契約に署名させたい。」答え：AWS Artifact Agreements（GDPR DPA）。
8. 「米国の医療プロバイダーがAWS上にPHIを保存したい。」答え：AWS Artifact経由でHIPAA BAAに署名し、HIPAA適格サービスを使用する。

FAQ — AWSセキュリティ・ガバナンス・コンプライアンスよくある質問

Q1. AWS ArtifactとAWS Configの違いは何ですか？

AWS ArtifactはAWSの外部監査レポートと法的契約書（SOC、PCI DSS、HIPAA BAA、GDPR DPA）を配布するポータルだ。AWS Configはリソース構成履歴を記録し、コンプライアンスルールに照らして評価する。ArtifactはAWSのコンプライアンス態勢に関するものであり、Configはお客様のアカウントのコンプライアンス態勢に関するものだ。どちらもセキュリティガバナンスコンプライアンスにとって重要だが、異なる問題を解決する。

Q2. AWSは私のアプリケーションを自動的にHIPAAに準拠させますか？

いいえ。AWSはHIPAA適格であり、AWSインフラが関連する監査を通過したことを意味する。それでもお客様はAWS Artifact経由でHIPAA BAAに署名し、HIPAA適格サービスに限定してデプロイし、PHIを保存時と転送時に暗号化し、IAMアクセスを厳格に制限し、ロギングを設定する必要がある。HIPAAはAWS上の他のすべてのコンプライアンスプログラムと同様に責任共有だ。

Q3. コンプライアンス監査にはCloudTrailとCloudWatchのどちらを使うべきですか？

CloudTrailだ。CloudTrailはアカウントで行われたすべてのAWS API呼び出しを記録する — 誰が何を、いつ、どこから行ったか。コンプライアンスプログラムが求める否認不可能な監査トレイルを提供するため、監査人はCloudTrailを読む。CloudWatchはメトリクス・アラーム・アプリケーションログのための運用監視サービスだ。両者は連携することが多い（CloudTrailイベントをCloudWatch Logsにストリーミングできる）が、互換性はない。

Q4. AWSマネージドキーではなくカスタマーマネージドKMSキーを選ぶのはどんな場合ですか？

次のいずれかが必要な場合にカスタマーマネージドKMSキーを選択する：カスタムローテーションポリシー、クロスアカウントキー共有、キーを無効化することで即座にアクセスを取り消す能力、詳細なキーポリシー、またはカスタマーが管理するキーマテリアルを義務付ける特定のコンプライアンスプログラムへの準拠。AWSマネージドキーは、運用上のオーバーヘッドなしに保存時データを暗号化するだけでよいデフォルト暗号化シナリオに適している。

Q5. AWS OrganizationsとAWS Control Towerの違いは何ですか？

AWS Organizationsは、組織単位（OU）の作成・サービスコントロールポリシーの適用・連結請求を可能にする基本的なマルチアカウントサービスだ。AWS Control TowerはAWS Organizationsの上に構築され、ベストプラクティスのガードレール・集中ログ・事前設定済みのConfigとCloudTrail・新規アカウントをプロビジョニングするためのAccount Factoryを備えた意見のあるランディングゾーンを提供する。OrganizationsはエンジンでありControl Towerはその周囲に組み立てられた車だ。

Q6. AWS Configはコンプライアンスを強制できますか、それとも違反を検知するだけですか？

AWS Configは主に宣言したルールに対する構成のずれを検知する。ただし、ConfigルールはAWS Systems Manager Automationドキュメントを通じて修復アクションをトリガーできる。これにより、Configは自動修復機能を持つ検知的コントロール — 実質的に数分でコンプライアンスを強制する — となる。真の予防的コントロール（違反が発生する前に止める）のためには、AWS OrganizationsのService Control Policiesを使用する。

Q7. GDPRに準拠したワークロードにはどのAWSリージョンを選ぶべきですか？

GDPRは特定のリージョンを義務付けていないが、ほとんどの組織はEEA内に個人データを保持するためにEUリージョン（eu-west-1アイルランド、eu-central-1フランクフルト、eu-north-1ストックホルム、eu-west-3パリ、eu-south-1ミラノ、eu-south-2スペイン、eu-central-2チューリッヒ）を選択する。リージョン選択と、承認されたリージョン外のリソース作成を拒否するSCPを組み合わせ、AWS ArtifactでGDPRデータ処理補足契約を受け入れ、AWS KMSで個人データを暗号化する。

参考資料

• AWSコンプライアンスプログラム概要: https://aws.amazon.com/compliance/programs/
• AWS Config開発者ガイド: https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html
• AWS Organizationsユーザーガイド: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html
• AWS Control Towerユーザーガイド: https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html
• AWS CloudTrailユーザーガイド: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html
• AWS Artifactユーザーガイド: https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html
• AWS KMS開発者ガイド: https://docs.aws.amazon.com/kms/latest/developerguide/overview.html
• AWS Well-Architected Security Pillar: https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html
• AWS Cloud Practitioner試験ガイド（CLF-C02）: https://d1.awsstatic.com/training-and-certification/docs-cloud-practitioner/AWS-Certified-Cloud-Practitioner_Exam-Guide.pdf