AWS認定資格 WEB問題集&徹底解説
AIプラクティショナー
AWSサービスの一つであるAWS Artifactはどんな内容なのでしょうか?また、AWS認定資格のAIプラクティショナー(AIF)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います
1. サービス概要
AWS Artifactは、AWSのセキュリティ、コンプライアンス、プライバシーに関するドキュメントをオンデマンドで取得できる無料サービスです。 SOCレポート、ISO認証、PCI DSS、FedRAMP、各種監査レポート、認証書、AWSとの契約文書を確認・ダウンロードできます。
試験では、Artifactは「AWS自身の監査レポートや契約書を取得する場所」、Audit Managerは「自社AWS環境の監査証跡を収集・管理するサービス」と切り分けます。 Artifactのドキュメントは監査人や規制当局に提出する証跡として使えますが、自社アプリケーションが準拠していることを自動で保証するものではありません。
2. 主な特徴と機能
2.1 AWS Artifact Reports
AWS Artifact Reportsでは、SOC 1/2/3、ISO、PCI DSS、FedRAMP、CSA、各種国・業界向けレポートなど、AWSの第三者監査レポートや認証書を取得できます。 監査対応、ベンダー評価、リスク評価、社内承認に利用します。
2.2 AWS Artifact Agreements
AWS Artifact Agreementsでは、AWSとの契約や追加条項を確認、承諾、追跡できます。 代表例はBusiness Associate Addendum(BAA)などで、アカウント単位またはOrganizations配下の複数アカウントで契約状態を管理できます。
2.3 AWS Marketplace Vendor Insights
AWS Artifactでは、AWS Marketplaceで販売される独立系ソフトウェアベンダー(ISV)のセキュリティ/コンプライアンス情報を取得できる場合があります。 SaaSやMarketplace製品のベンダーリスク評価にも役立ちます。
2.4 共有責任モデルとの関係
Artifactで取得できるレポートは、AWSが「クラウドのセキュリティ」に関してどのような統制を実施しているかを示します。 顧客は「クラウド内のセキュリティ」、つまり自社リソース設定、データ保護、アプリケーション統制を別途証明する必要があります。
2.5 アクセス制御
ArtifactへのアクセスはIAMで制御します。 監査レポートには機密性の高い情報が含まれるため、閲覧・ダウンロード・契約承諾の権限を分離し、最小権限で付与します。
2.6 無料で利用可能
AWS Artifactのドキュメントと契約管理機能は無料で利用できます。 ただし、ダウンロードした文書の保管先や社内文書管理システムの利用料は別途考慮します。
3. アーキテクチャおよび技術要素
- 監査担当者または管理者がAWSマネジメントコンソールからAWS Artifactへアクセスする。
- Reportsで必要な監査レポート、認証書、コンプライアンス文書を検索し、利用条件を確認してダウンロードする。
- Agreementsで必要な契約文書を確認し、承諾状況をアカウントまたはOrganizations単位で管理する。
- ダウンロードしたドキュメントを社内GRC、監査証跡管理、文書管理システムへ安全に保管する。
- 監査人や規制当局へAWS側統制の証跡として提出し、自社側統制は別途Audit ManagerやConfig等で証明する。
- CloudTrailでArtifact利用操作を監査し、IAMで閲覧/契約権限を制御する。
Artifactはデータプレーンのワークロードを変更するサービスではなく、コンプライアンス文書と契約管理のためのポータルです。
4. セキュリティと認証・認可
- IAM最小権限: レポート閲覧、ダウンロード、契約承諾、契約終了などの操作を職務ごとに分離する。
- 機密文書管理: SOCレポートなどは機密情報を含むため、ダウンロード後の保管先、共有先、保持期間を管理する。
- Organizations: 複数アカウントの契約管理では、管理アカウントとメンバーアカウントの権限を明確にする。
- CloudTrail: Artifact API/コンソール操作をCloudTrailで記録し、契約承諾や文書取得の監査証跡にする。
- MFA: 契約承諾や監査レポート取得を行う管理者にはMFAを適用する。
- 共有責任: Artifact文書はAWS側統制の証跡であり、顧客側の設定不備やアプリケーション統制を補完するものではない。
5. 料金形態
AWS Artifactは無料で利用できます。AWSはArtifactのドキュメントと契約管理機能を追加料金なしで提供します。
- Artifact利用料: 無料。
- ドキュメント取得: 監査レポート、認証書、契約書の閲覧・ダウンロードに追加料金はかからない。
- 周辺コスト: ダウンロード後にS3、文書管理、DLP、監査ワークフローへ保存する場合は、そのサービス料金を考慮する。
- 監査対応: Artifact自体は無料だが、外部監査、GRCツール、社内レビューの人件費は別途発生する。
6. よくあるアーキテクチャ・設計パターン
- 外部監査対応: SOC 2やISO認証レポートをArtifactから取得し、監査人へ提出する。
- 規制要件確認: PCI DSS、FedRAMP、HIPAA関連文書を確認し、AWS利用範囲の要件を整理する。
- 契約管理: BAAなどの契約文書をArtifact Agreementsで確認・承諾・追跡する。
- ベンダーリスク管理: AWS Marketplace Vendor InsightsでISVのセキュリティ情報を確認する。
- GRC連携: ダウンロードしたレポートを社内GRCシステムや証跡リポジトリに登録する。
- Audit Manager併用: AWS側統制はArtifact、自社アカウントの証跡はAudit Manager/Config/Security Hubで管理する。
7. 設定・デプロイ手順(ハンズオン例)
- AWSマネジメントコンソールでAWS Artifactを開く。
- Reportsから必要なSOC、ISO、PCI DSSなどのレポートを検索する。
- 利用条件を確認し、必要なレポートをダウンロードする。
- Agreementsで必要な契約文書を確認し、承諾状況を管理する。
- IAMポリシーでレポート閲覧者と契約管理者を分離する。
- CloudTrailでArtifact操作が記録されていることを確認し、文書の社内保管ルールを適用する。
8. 試験で問われやすいポイント
8.1 サービス選択
- Q: AWS Artifactは何を提供するサービス?
A: AWSのセキュリティ/コンプライアンス文書、監査レポート、認証書、契約書をオンデマンドで取得・管理するサービス。 - Q: AWS自身のSOCやISOレポートを取得するには?
A: AWS Artifact Reportsを使う。 - Q: 自社AWS環境の監査Evidenceを自動収集するサービスはArtifact?
A: いいえ。自社環境のEvidence管理はAWS Audit Manager。ArtifactはAWS側の文書取得。
8.2 ReportsとAgreements
- Q: SOC、ISO、PCI DSSなどのレポートを取得する機能は?
A: AWS Artifact Reports。 - Q: BAAなどAWSとの契約文書を確認・承諾・追跡する機能は?
A: AWS Artifact Agreements。 - Q: Marketplace製品のセキュリティ情報確認に使える関連機能は?
A: AWS Marketplace Vendor Insights。
8.3 共有責任と監査
- Q: Artifactのレポートは顧客アプリのコンプライアンスを自動保証する?
A: いいえ。AWS側統制の証跡であり、顧客側統制は別途設計・証明する必要がある。 - Q: Artifact文書の利用例は?
A: 監査人や規制当局への提出、ベンダーリスク評価、社内セキュリティレビュー。 - Q: Artifactの利用料金は?
A: 無料。
8.4 セキュリティ
- Q: Artifactへのアクセスは何で制御する?
A: IAMポリシー。 - Q: Artifact操作を監査するには?
A: CloudTrailを使う。 - Q: ダウンロードしたSOCレポートで注意することは?
A: 機密文書として保管先、共有先、保持期間を管理する。