この記事で押さえること(AWS Certified Cloud Practitioner向け)
AWS認定クラウドプラクティショナー(CLF)では、「セキュリティ・ガバナンス・コンプライアンス」の基礎理解が問われます。試験ガイドでも、コンプライアンス情報の参照先(例:AWS Artifact)を把握することが明記されています。
まず前提:コンプライアンスは「責任共有モデル」で理解する
コンプライアンスは「AWSが全部やってくれる」ものではありません。AWSはクラウド基盤(施設、ハードウェア、仮想化レイヤー等)を管理し、利用者はクラウド上の設定(例:アクセス制御、暗号化設定、OSパッチ、ログ設定など)を担います。CLFでは、この切り分けを前提に「どこで何を確認すべきか」を理解するのが重要です。
- https://aws.amazon.com/jp/compliance/shared-responsibility-model/
- https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-risk-and-compliance/aws-risk-and-compliance.pdf
1) AWS コンプライアンスプログラムとは
AWSが、各種の規格・認証・監査にどう対応しているか(また、それを支える統制)を体系化した取り組みです。AWS公式では、ガバナンスを意識した監⽤(監査に適した)機能や、各種のコンプライアンス/監査標準との対応関係を整理して、利用者がクラウド上で統制環境を確立・運用する助けになると説明されています。
CLFでの理解ポイント
- 「AWSが準拠している規格がある」ことと、「自社がそのまま準拠できる」ことは別(責任共有モデルのため)。
- 監査や規制対応で「AWS側の証跡」が必要なときは、次の「AWS Artifact」に繋がる。
例:よくある誤解を修正
誤解:「AWSがISOを取っているなら、うちもISO対応は自動的にOK」
実際:AWSの統制(データセンター・基盤)の証明にはなるが、利用者側の運用(IAM設計、ログ保全、暗号化ポリシー、変更管理など)を満たして初めて自社要件に到達します。
2) AWS Artifactとは
AWSのセキュリティ/コンプライアンス文書(例:SOCレポート、ISO認証など)をオンデマンドで入手できるサービスです。監査対応、取引先への説明、社内統制の証跡収集などに使われます。
- https://aws.amazon.com/artifact/
- https://docs.aws.amazon.com/ja_jp/artifact/
- https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html
- https://aws.amazon.com/artifact/getting-started/
CLFでの理解ポイント(試験に出やすい形)
- 「AWSのコンプライアンス情報(監査報告書など)をどこで入手する?」→ AWS Artifact が典型解。
- Artifactは“証拠(レポート・証明書・契約/合意書類)を取得する場所”。
例:典型シナリオ
取引先から「AWSを使うなら、SOC 2レポート(またはISO証明)を提出してほしい」と言われた場合、AWS側が提供するレポート類はArtifactから取得して提示する、という流れになります(ただし提示できる範囲・条件はドキュメントに従う)。
3) カスタマーコンプライアンスセンターとは(位置づけと使い方)
この用語は「規制や業界要件に関する情報を調べる“参照先”」として説明されることが多く、実務的には以下のような情報ハブ(ポータル)を指すケースが多いです。
確実に言えること
- AWS Compliance Center(コンプライアンスセンター)という公式ページがあり、国別の規制環境や、クラウド採用に対する規制上の見解などを調査する“中心的な場所”として説明されています。
- https://aws.amazon.com/jp/financial-services/security-compliance/compliance-center/
- https://aws.amazon.com/financial-services/security-compliance/compliance-center/
推測(可能性が高い/根拠)
可能性が高い:画像の「カスタマーコンプライアンスセンター」は、上記の AWS Compliance Center を日本語教材が意訳・要約して表現している可能性があります。
根拠:Compliance Centerは“規制要件を調査する場所”として説明され、CLFで求められる「コンプライアンス情報をどこで調べるか」という学習文脈と整合します。
不明点(追加で確認すべき点)
- 教材や出典によっては、「カスタマーコンプライアンスセンター」が別コンテンツ(例:Customer Compliance Guides 等)を指している可能性があります。用語の指し先がどれかは、元の参考書・スライドの本文(説明文)を確認すると確実です。
補足として、AWSには“コンプライアンス観点のセキュリティガイダンス”を提供する取り組み(Customer Compliance Guidesの公開など)もあります。これが文脈上の参照先になっている場合も考えられます。
3つの用語を「試験で解ける形」にまとめる
| 用語 | ひと言で | CLFでの典型問題イメージ |
|---|---|---|
| AWS コンプライアンスプログラム | AWSが準拠・監査対応している枠組み | 「AWSはどんな規格・監査に対応している?」 |
| AWS Artifact | 証跡(レポート・証明書等)を入手する場所 | 「SOC/ISOなどの文書をどこで取得?」 |
| カスタマーコンプライアンスセンター | 規制・要件の調査や理解のための情報ハブ(文脈依存) | 「地域/業界の規制要件はどこで調べる?」 |
直前復習チェックリスト(5分)
- 責任共有モデル:AWS側と利用者側の境界を説明できる(例:物理セキュリティはAWS、IAM/データ分類は利用者)。
- 「証明書・監査報告書」はAWS Artifactで取得、という連想ができる。
- 規制・業界要件は、コンプライアンス関連の情報ハブ(Compliance Center等)で調査する、という方向性が言える。
- 「サービスが特定のプログラムのスコープに入っているか」を調べるページがあることを知っている。
- https://aws.amazon.com/compliance/services-in-scope/
一次情報(公式)リンク集
- AWS コンプライアンス(全体):https://aws.amazon.com/compliance/
- コンプライアンスプログラム:https://aws.amazon.com/jp/compliance/programs/
- 責任共有モデル:https://aws.amazon.com/jp/compliance/shared-responsibility-model/
- AWS Artifact(サービス):https://aws.amazon.com/artifact/
- AWS Artifact(ドキュメント):https://docs.aws.amazon.com/ja_jp/artifact/
- Compliance Center:https://aws.amazon.com/jp/financial-services/security-compliance/compliance-center/
- CLF試験ガイド(PDF):https://d1.awsstatic.com/training-and-certification/docs-cloud-practitioner/AWS-Certified-Cloud-Practitioner_Exam-Guide.pdf