データレイヤー

データレイヤーは、カスタマーデータを保持する唯一のエリアとなるため、防御の観点では最もクリティカルなポイントとなります。防御策はアクセスを制限し各レイヤーにおいて特権を分離することから始まります。さらに、AWS ではこのデータレイヤーをさらに保護するために、脅威検出機器、監視カメラ、システム的な手続きを備えます。データレイヤー内に用意されているセキュリティ対策手法のいくつかの詳細については、下記よりご確認ください。

データレイヤー

データレイヤーは、カスタマーデータを保持する唯一のエリアとなるため、防御の観点では最もクリティカルなポイントとなります。防御策はアクセスを制限し各レイヤーにおいて特権を分離することから始まります。さらに、AWS ではこのデータレイヤーをさらに保護するために、脅威検出機器、監視カメラ、システム的な手続きを備えます。データレイヤー内に用意されているセキュリティ対策手法のいくつかの詳細については、下記よりご確認ください。

データレイヤー

テクノロジーとチームの連携によるセキュリティの強化

データレイヤーに立ち入るための許可を取得するには、必須の手順があります。これには、承認されたユーザーによる、アクセス申請の確認と承認が含まれます。この間に、脅威検知システムと電子的な侵入検知システムで監視し、脅威や不審な行動が確認された場合は、自動的にアラートをトリガーします。たとえば、ドアを無理やり開けたり、解放したままにするとアラームが起動されることになります。監視カメラの配備と録画映像の保存については、法律および契約上の要件に従っています。

物理的および技術的な侵入の阻止

サーバールームへのアクセスポイントは、多要素認証を義務付ける電子制御デバイスで厳重に保護されています。また、技術的な侵入を阻止するためにも備えがあります。AWS サーバーはデータの削除を試みる従業員に警告することができます。万一、違反が発生した場合には、サーバーが自動的に無効化されます。

サーバーとメディアの厳重な監視

ユーザーデータの保存に使用されるメディアストレージデバイスは「クリティカル」と分類されて、そのライフサイクルを通じて非常に重要な要素として適切に取り扱われます。デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている技法を使用してメディアを停止します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制対象です。

サードパーティーの監査者によるプロシージャとシステムの検証

AWS は、2,600 を超える要件について、1 年を通じて外部の監査機関による監査を受けています。サードパーティーの監査人が当社データセンターを監査する場合、セキュリティの認証を受けるために必要な規定のルールに従っているかどうかが厳密に査察されます。コンプライアンスプログラムとその要件によっては、メディアの取り扱い方と廃棄の方法について外部の監査人が従業員を面接する場合もあります。また、監査人は監視カメラの録画内容を確認したり、データセンターのすべての入り口や通路を確認したりする場合もあります。また、監査人は電子アクセス制御デバイスや監視カメラなどの機器をしばしば検査します。