AWS Marketplace Vendor Insights の設定 - AWS Marketplace
セキュリティプロファイルを作成する証明書のアップロード自己評価をアップロードするAWS Audit Manager 自動評価を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Marketplace Vendor Insights の設定

以下の手順では、AWS Marketplace の Software as a Service (SaaS) リストに AWS Marketplace Vendor Insights を設定するための大まかな手順について説明します。

SaaS の出品リストに AWS Marketplace Vendor Insights を設定するには

  1. セキュリティプロファイルを作成する.

  2. (オプション) 証明書のアップロード

  3. 自己評価をアップロードする.

  4. (オプション) AWS Audit Manager 自動評価を有効にする

セキュリティプロファイルを作成する

セキュリティプロファイルにより、購入者はソフトウェア製品のセキュリティ状況に関する詳細な情報を得ることができます。セキュリティプロファイルは、自己評価、認定、AWS Audit Manager 自動評価など、関連するデータソースを使用します。

注記

作成できるセキュリティプロファイルは数に限りがあります。より多くのセキュリティプロファイルを作成するには、クォータの引き上げをリクエストします。詳細については、「AWS 全般のリファレンス」の「AWS の Service Quotas」を参照してください。

セキュリティプロファイルを作成するには

  1. AWS Marketplace 販売者アカウントへのアクセス権を持つ IAM ユーザーまたはロールを使用してサインインします。

  2. [製品] を選択し、[SaaS] を選択して [SaaS 製品] ページに移動します。

  3. [製品] を選択します。

  4. [ベンダーインサイト] タブを選択し、[セキュリティプロファイルの追加をサポートに問い合わせる] を選択します。

  5. フォームに入力し、[送信] を選択します。

    AWS Marketplace Seller Operations チームがセキュリティプロファイルを作成します。セキュリティプロファイルの作成が完了すると、フォームに記載されている受信者に通知メールが送信されます。

証明書のアップロード

証明書は、製品のセキュリティ体制をさまざまな側面から証明するデータソースです。AWS MarketplaceVendor Insights でサポートされる認定は以下のとおりです。

  • FedRAMP 認定 - 米国政府のクラウドセキュリティ標準への準拠を検証します

  • GDPR コンプライアンスレポート - 一般データ保護規則 (GDPR) の要件の遵守、個人データおよび個人のプライバシー権の保護を実証します。

  • HIPAA コンプライアンスレポート - 保護対象の医療情報を保護する、「医療保険の相互運用性と説明責任に関する法令 (HIPAA)」の規制に準拠していることを証明します。

  • ISO/IEC 27001 監査報告書 - 情報セキュリティ基準に重点を置いた国際標準化機構 (ISO)/国際電気標準会議 (IEC) 27001 への準拠を確認しています

  • PCI DSS 監査報告書 - PCI セキュリティ標準審議会が設定したセキュリティ基準への準拠を証明します。

  • SOC 2 タイプ 2 監査報告書 - サービス組織統制 (SOC) のデータプライバシーとセキュリティ統制への準拠を確認します。

証明書のアップロードするには

  1. [ベンダーインサイト] タブで、[データソース] セクションに移動します。

  2. [証明書][認定資格をアップロード] を選択します。

  3. [認定資格の詳細] で、必要な情報を入力し、証明書をアップロードします。

  4. (オプション) [タグ] で、新しいタグを追加します。

    注記

    タグの詳細については、「AWS リソースのタグ付けのユーザーガイド」の「AWS Tagging your AWS resources」を参照してください。

  5. [証明書をアップロード] を選択します。

    注記

    証明書は現在のセキュリティプロファイルに自動的に関連付けられます。アップロード済みの証明書を関連付けることもできます。製品詳細ページで、[認定] の下の [認定を関連付ける] を選択し、リストから認定を選択して、[認定を関連付ける] を選択します。

    証明書をアップロードしたら、製品詳細ページの [証明書のダウンロード] ボタンを使用してダウンロードできます。[認定書の更新] ボタンを使用して認定書の詳細を更新することもできます。

    認証の詳細が検証されるまで、認証ステータスは [ValidationPending] に変わります。データソースの処理中と処理後に、別のステータスが表示されます。

    • 使用可能 - データソースがアップロードされ、システム検証が正常に完了しました。

    • AccessDenied - AWS Marketplace Vendor Insights では、データソースの外部ソース参照にアクセスして読み取れなくなりました。

    • ResourceNotFound - データソースの外部ソース参照は、ベンダーインサイトが読み取れなくなりました。

    • ResourceNotSupported - データソースはアップロードされましたが、提供されたソースはまだサポートされていません。検証エラーの詳細については、ステータスメッセージを参照してください。

    • ValidationPending - データソースはアップロードされましたが、システム検証はまだ実行中です。この段階では実行できるアクション項目はありません。ステータスが [利用可能]、[ResourceNotSupported]、または [ValidationFailed] に更新されます。

    • ValidationFailed - データソースはアップロードされましたが、1 つ以上の理由でシステム検証が失敗しました。検証エラーの詳細については、ステータスメッセージを参照してください。

自己評価をアップロードする

自己評価は、製品のセキュリティ体制を証明するデータソースの一種です。AWS MarketplaceVendor Insights でサポートされる自己評価は以下のとおりです。

  • AWS Marketplace Vendor Insights の自己評価

  • コンセンサス評価イニシアティブアンケート (CAIQ) 詳細については、Cloud Security Alliance ウェブサイトの「What is CAIQ」を参照してください。

自己評価をアップロードするには

  1. https://console.aws.amazon.com/marketplace でAWS Marketplace コンソールを開きます。

  2. [ベンダーインサイト] タブで、[データソース] セクションに移動します。

  3. [自己評価][自己評価をアップロード] を選択します。

  4. [自己評価の詳細] で、次の情報を入力します。

    1. [名前] - 自己評価の名前を入力します。

    2. [タイプ] - リストから評価タイプを選択します。

      注記

      [ベンダーインサイトのセキュリティ自己評価] を選択した場合は、[テンプレートをダウンロード] を選択して自己評価をダウンロードします。スプレッドシートの回答ごとに [はい][いいえ]、または [N/A] を選択します。

  5. 完了した評価をアップロードするには、[自己評価をアップロード] を選択します。

  6. (オプション) [タグ] で、新しいタグを追加します。

    注記

    タグの詳細については、「AWS リソースのタグ付けのユーザーガイド」の「AWS Tagging your AWS resources」を参照してください。

  7. [自己評価をアップロード] を選択します。

    注記

    自己評価は現在のセキュリティプロファイルに自動的に関連付けられます。アップロード済みの自己評価を関連付けることもできます。製品詳細ページで、[自己評価] の下の [自己評価を関連付ける] を選択し、リストから自己評価を選択して、[自己評価を関連付ける] を選択します。

    自己評価をアップロードしたら、製品詳細ページの [自己評価をダウンロード] ボタンを使用してダウンロードできます。[自己評価の更新] ボタンを使用して自己評価の詳細を更新することもできます。

    ステータスは、次のいずれかの値に更新されます。

    • 使用可能 - データソースがアップロードされ、システム検証が正常に完了しました。

    • AccessDenied - データソースの外部ソース参照は、ベンダーインサイトが読み取れなくなりました。

    • ResourceNotFound - データソースの外部ソース参照は、ベンダーインサイトが読み取れなくなりました。

    • ResourceNotSupported - データソースはアップロードされましたが、提供されたソースはまだサポートされていません。検証エラーの詳細については、ステータスメッセージを参照してください。

    • ValidationPending - データソースはアップロードされましたが、システム検証はまだ実行中です。この段階では実行できるアクション項目はありません。ステータスが [利用可能]、[ResourceNotSupported]、または [ValidationFailed] に更新されます。

    • ValidationFailed - データソースはアップロードされましたが、1 つ以上の理由でシステム検証が失敗しました。検証エラーの詳細については、ステータスメッセージを参照してください。

AWS Audit Manager 自動評価を有効にする

AWS Marketplace Vendor Insights は、複数の AWS のサービス を使用して、セキュリティプロファイルの証拠を自動的に収集します。

自動評価には以下の AWS のサービス とリソースが必要です。

  • AWS Audit Manager - AWS Marketplace Vendor Insights の設定を簡素化するために、必要なリソースのプロビジョニングと設定を行う CloudFormationスタックと StackSets を使用しています。スタックセットは、AWS Config によって自動的に入力されるコントロールを含む自動評価を作成します。

    AWS Audit Manager については、「AWS Audit Manager User Guide」を参照してください。

  • AWS Config - AWS Config スタックセットは AWS Config コンフォーマンスパックをデプロイして必要なルールを設定します。これらのルールにより、Audit Manager の自動評価は、AWS アカウント でデプロイされている他の AWS のサービス のライブエビデンスを収集できます。AWS Config 機能の詳細については、「AWS Configデベロッパーガイド」を参照してください。

    注記

    AWS Config で記録した最初の月のアカウントアクティビティが、その後の月と比較して増加していることに気付くかもしれません。最初のブートストラッププロセス中に、AWS Config は、AWS Config の記録対象として選択したアカウント内のすべてのリソースを確認します。

    一時的なワークロードを実行する場合、これらの一時リソースの作成と削除に関連する設定の変更を記録するため、AWS Config のアクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。

    エフェメラルワークロードの例には、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンスや Amazon EMR ジョブ、AWS Auto Scaling、AWS Lambda があります。エフェメラルワークロードの実行によるアクティビティの増加を避けるには、AWS Config をオフにした別のアカウントでこの種のワークロードを実行できます。このアプローチでは、設定の記録やルール評価が増えるのを防ぐことができます。

  • Amazon S3 - このスタックセットは、以下の 2 つの Amazon Simple Storage Service バケットを作成します。

    • vendor-insights-stack-set-output-bucket-{アカウント番号} - このバケットには、実行されたスタックセットからの出力が含まれています。AWS Marketplace Seller Operations チームはその出力を使用して、自動化されたデータソース作成プロセスを完了します。

    • vendor-insights-assessment-reports-bucket-{アカウント番号} - AWS Audit Manager は、この Amazon S3 バケットに評価レポートを公開します。評価レポートの公開に関する詳細については、「AWS Audit Manager ユーザーガイド」の「評価レポート」を参照してください。

      Amazon S3 機能でのファイルの保存に関する詳細については、「Amazon S3 ユーザーガイド」を参照してください。

  • IAM - オンボーディングスタックセットは、アカウントに次の AWS Identity and Access Management (IAM) ロールをプロビジョニングします。

    • VendorInsightsPrerequisiteCFT.yml テンプレートをデプロイすると、管理者ロール AWSVendorInsightsOnboardingStackSetsAdmin と実行ロール AWSVendorInsightsOnboardingStackSetsExecution が作成されます。スタックセットは管理者ロールを使用して、必要なスタックを複数の AWS リージョン スタックに同時にデプロイします。管理者ロールは、AWS Marketplace Vendor Insights の設定プロセスの一環として必要な親スタックとネストされたスタックをデプロイする実行ロールを引き受けます。セルフマネージド型アクセス許可の詳細については、「CloudFormation ユーザーガイド」の「セルフマネージド型のアクセス許可を付与する」を参照してください。

    • AWSVendorInsightsRole ロールにより、AWS Marketplace Vendor Insights は AWS Audit Manager リソース内の評価を読むためのアクセス権を与えられます。AWS MarketplaceVendor Insights には、AWS Marketplace Vendor Insights プロファイルの評価で見つかった証拠が表示されます。

    • AWSVendorInsightsOnboardingDelegationRole により、AWS Marketplace Vendor Insights は vendor-insights-stack-set-output-bucket バケット内のオブジェクトを一覧表示または読み取ることができます。この機能により、AWS Marketplace カタログ業務チームは AWS Marketplace Vendor Insights プロファイルの設定を支援できます。

    • AWSAuditManagerAdministratorAccess ロールは、AWS Audit Manager の有効化または無効化、設定の更新、評価、コントロール、フレームワークを管理するための管理者アクセスを提供します。ユーザーまたはチームがこの役割を引き受け、AWS Audit Manager で自動評価のためのアクションを実行できます。

AWS Audit Manager 自動評価を有効にするには、オンボーディングスタックをデプロイする必要があります。

オンボーディングスタックをデプロイする

AWS Marketplace Vendor Insights のセットアップを簡素化するために、必要なリソースのプロビジョニングと設定を行う CloudFormation スタックと StackSets を使用しています。複数のアカウントまたは複数の AWS リージョン SaaS ソリューションをお持ちの場合、SStackSets Sets を使用すると、中央管理アカウントからオンボーディングスタックをデプロイできます。

CloudFormation StackSets の詳細については、「AWS CloudFormation ユーザーガイド」の「CloudFormation StackSets の操作」を参照してください。

AWS Marketplace Vendor Insights の設定には、以下の CloudFormation テンプレートを使用する必要があります。

  • VendorInsightsPrerequisiteCFT - アカウントで CloudFormation StackSets を実行するために必要な管理者ロールとアクセス許可を設定します。このスタックは販売者アカウントで作成してください。

  • VendorInsightsOnboardingCFT - 必要な AWS のサービス を設定し、適切な IAM アクセス許可を設定します。これらのアクセス許可により、AWS Marketplace Vendor Insights は AWS アカウント で実行されている SaaS 製品のデータを収集し、そのデータを AWS Marketplace Vendor Insights プロファイルに表示できます。StackSets を通じて SaaS ソリューションをホストしている販売者アカウントと本番稼働用アカウントの両方にこの StackSets を作成します。

VendorInsightsPrerequisiteCFT スタックを作成します。

VendorInsightsPrerequisiteCFT CloudFormation スタックを実行することにより、スタックセットのオンボーディングを開始するための IAM アクセス許可を設定します。

VendorInsightsPrerequisiteCFT スタックを作成するには

  1. GitHub ウェブサイトのVendor Insights テンプレートフォルダ用 AWS サンプルリポジトリから最新の VendorInsightsPrerequisiteCFT.yml ファイルを確認してダウンロードしてください。

  2. AWS Marketplace 販売者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudformation で CloudFormation コンソールを開きます。

  3. CloudFormation コンソールのナビゲーションペインで、[スタック] を選択し、ドロップダウンから [スタックを作成][新しいリソースを使用 (標準)] を選択します (ナビゲーションペインが表示されていない場合は、左上隅にあるナビゲーションペインを選択して展開します)。

  4. [テンプレートの指定] で、[テンプレートファイルのアップロード] を選択します。ダウンロードした VendorInsightsPrerequisiteCFT.yml ファイルをアップロードするには、[ファイルを選択] を使用します。次に、[次へ] を選択します。

  5. スタックの名前を入力し、[次へ] を選択します。

  6. (オプション) 必要に応じてスタックオプションを設定します。

    [次へ] を選択します。

  7. [確認] ページで選択内容を確認します。変更するには、変更する領域で [編集] を選択します。スタックを作成する前に、[能力] エリアの確認チェックボックスを選択する必要があります。

    [送信] を選択します。

  8. スタックが作成されたら、[リソース] タブを選択し、作成された以下のロールを書き留めます。

    • AWSVendorInsightsOnboardingStackSetsAdmin

    • AWSVendorInsightsOnboardingStackSetsExecution

VendorInsightsOnboardingCFT スタックセットを作成する

VendorInsightsOnboardingCFT CloudFormation スタックセットを実行することにより、必要な AWS のサービス を設定し、適切な IAM アクセス許可を設定します。これにより、AWS Marketplace Vendor Insights は AWS アカウント で実行されている SaaS 製品のデータを収集し、AWS Marketplace Vendor Insights プロファイルに表示できます。

マルチアカウントソリューションを使用している場合や、販売者アカウントと本番稼働用アカウントを別々に使用している場合は、このスタックを複数のアカウントにデプロイする必要があります。StackSets では、前提条件スタックを作成した管理アカウントからこれを行うことができます。

スタックセットは、セルフマネージド型のアクセス許可を使用してデプロイされます。詳細については、AWS CloudFormation ユーザーガイドセルフマネージド型のアクセス許可を持つスタックセットの作成を参照してください。

VendorInsightsOnboardingCFT スタックセットを作成するには

  1. GitHub ウェブサイトのベンダーインサイトテンプレートフォルダ用 AWS サンプルリポジトリから最新の VendorInsightsOnboardingCFT.yml ファイルを確認してダウンロードしてください。

  2. AWS Marketplace 販売者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudformation で CloudFormation コンソールを開きます。

  3. CloudFormation コンソールのナビゲーションペインで、[StackSet の作成] を選択します。(ナビゲーションペインが表示されていない場合は、左上隅にあるナビゲーションペインを選択して展開します)。

  4. [アクセス許可] で、管理者ロールとして [IAM ロール名] を選択し、ドロップダウンからロール名として [AWSVendorInsightsOnBoardingStackSetsAdmin] を選択します。

  5. [IAM 実行ロール名] として AWSVendorInsightsOnboardingStackSetsExecution を入力します。

  6. [テンプレートの指定] で、[テンプレートファイルのアップロード] を選択します。ダウンロードした VendorInsightsOnboardingCFT.yml ファイルをアップロードするには、[ファイルを選択] を使用し、[次へ] を選択します。

  7. 次の StackSet パラメータを指定し、[次へ] を選択します。

    • CreateVendorInsightsAutomatedAssessment - このパラメータは、AWS アカウント での AWS Audit Manager 自動評価を設定します。管理アカウントと本稼働アカウントが別々にある場合、このオプションは運用アカウントでのみ選択し、管理アカウントには選択しないでください。

    • CreateVendorInsightsIAMRoles - このパラメータは、AWS Marketplace Vendor Insights が AWS アカウント 内の評価データを読み取れるようにする IAM ロールをプロビジョニングします。

    • PrimaryRegion - このパラメータは、SaaS デプロイメントのプライマリ AWS リージョン を設定します。これは AWS アカウント で Amazon S3 バケットが作成されるリージョンです。SaaS 製品が 1 つのリージョンのみにデプロイされている場合、そのリージョンがプライマリリージョンです。

  8. StackSet オプションを必要に応じて設定します。[実行] 設定を [非アクティブ] のままにして、[次へ] を選択します。

  9. デプロイオプションを設定します。マルチアカウントソリューションを使用している場合は、1 回の操作で複数のアカウントとリージョンにスタックセットをデプロイするように設定できます。[次へ] を選択します。

    注記

    マルチアカウントソリューションを使用している場合は、1 つのスタックセットとしてすべてのアカウントにデプロイすることはお勧めしません。ステップ 7 で定義したパラメータには細心の注意を払ってください。デプロイ先のアカウントの種類によっては、一部のパラメータを有効または無効にする必要がある場合があります。StackSets は、1 回のデプロイで指定されたすべてのアカウントに同じパラメータを適用します。アカウントをスタックセットにグループ化することによりデプロイ時間を短縮できますが、マルチアカウントソリューションではやはり複数回デプロイする必要があります。

    重要

    複数のリージョンにデプロイする場合は、最初にリストするリージョンが PrimaryRegion である必要があります。[リージョンの同時実行] オプションはデフォルト設定の [シーケンシャル] のままにしておきます。

  10. [確認] ページで選択内容を確認します。変更するには、変更する領域で [編集] を選択します。スタックセットを作成する前に、[能力] エリアの確認チェックボックスを選択する必要があります。

    [送信] を選択します。

    スタックセットはリージョンごとに約 5 分で完了します。