The Doppler Quarterly (日本語) 夏 2017 | Page 24

AWS社の監査に
合格するには
Bob Krygowski
パブリッククラウドに移行しても、コンプライアンスと
ガバナンスの要件は変わりません。
規制のある業界の企業で働いている人や内部制御の要件に対応しなければならい人
は、一定の間隔でデータの収集と分析を行ってレポートを作成すること、またさらには次
の監査に向けて最後の瞬間まで大急ぎで準備を進めることに慣れているかと思います
が、こうした状況は今も変わりがありません。
現状が変わると何が起きるのか
Cloud Technology Partners では、お客様が十分に理解している制御の行き届いたオンプ
レミスまたはデータセンター環境から Amazon Web Services (AWS) のようなパブリックク
ラウド環境に既存のアプリケーションやサービスを移行するときに、現状を大きく変えるのを
目にすることが少なくありません。
まず、このようなテクノロジーの変革を進めた場合、組織の関係者にどのような影響がもたら
される可能性があるのかを考えてみましょう。
• CISO。 AWS でアプリケーションを実行する場合、 CISO は引き続き、自社とお客様両方
のデータを保護するとともに、それらのアプリケーションに関連するすべての規制とコン
プライアンスの要件を確実に満たしてそれを証明する責任を負います。
• アプリケーションオーナー。 AWS でアプリケーションを実行する場合、アプリケーショ
ンオーナーは引き続き、適用される規制のフレームワークと基準に対応するための要件を
把握して制御を行う責任を負います。
• 事業部門のオーナー。 AWS でアプリケーションを実行する場合、事業部門のオーナー
は引き続き、業績および適用される規制のフレームワークと基準に自社の製品やサービス
を確実に準拠させることに責任を負います。
• 最高リスク管理責任者。
監査役は引き続き、組織がコンプライアンスの要件を把握して
解釈し、定期監査にスムーズに対応できるよう、部門の枠を超えて支援を行うとともに、
自社を代表して外部の監査人に対応する責任を負います。
22 | THE DOPPLER | 2017 年夏号