AWS Artifact

解決する課題

• 自社の監査や取引先のセキュリティ評価で「AWS の第三者監査レポートを出してほしい」と求められる → AWS の監査レポートを自分で取得したい
• AWS の SOC や ISO の証明書をどこで入手すればよいか分からず、その都度サポートに問い合わせている → セルフサービスで即ダウンロードしたい
• 医療情報や個人データを扱うために AWS と必要な契約を結びたい → BAA などの契約をオンラインで受諾したい
• 提出された監査レポートが最新版か、改ざんされていないかを確認したい → AWS 公式の一次情報として入手したい

AWS Artifact は、AWS が受けた第三者監査のレポートや、AWS との各種契約をオンデマンドで提供するセルフサービスのポータルです。コンプライアンス対応で必要になる証跡を、サポート問い合わせなしに自分でダウンロード・管理できます。

主要概念と用語

• Artifact Reports（レポート）: AWS が外部監査機関から受けた監査結果や認証の証明書。SOC レポート、ISO 認証、PCI DSS の準拠証明などが該当する
• Artifact Agreements（契約）: AWS と利用者の間で結ぶオンライン契約。個別アカウント単位、または組織全体を対象に受諾・管理できる
• SOC レポート: 内部統制に関する第三者保証レポート。一般に SOC 1／SOC 2／SOC 3 の区分があり、SOC 3 は要約版で公開しやすい
• BAA（事業提携契約 / Business Associate Addendum）: 米国 HIPAA に基づき、医療情報（PHI）を扱う際に必要となる契約
• NDA / 機密保持条件: 多くのレポートは機密扱いで、ダウンロード時に守秘義務に同意する必要がある。SOC 3 など一部は公開可能
• 責任共有モデル: クラウドの「セキュリティ "of" the cloud」は AWS、「セキュリティ "in" the cloud」は利用者という責任分担。Artifact のレポートは AWS 側の統制を裏付ける証跡にあたる
• 委任管理者 / 組織アカウント: AWS Organizations と連携し、組織を代表して契約を受諾・管理する立場のアカウント

仕様・制限・クォータ

• 基本無料: AWS Artifact 自体の利用に追加料金はかからない。レポートのダウンロードや契約の受諾に費用は発生しない
• 提供されるのは AWS の証跡: Artifact が出すのは AWS インフラ側の監査レポートであり、利用者が AWS 上に構築したアプリやデータの監査証跡ではない（そちらは AWS Audit Manager などで別途整える）
• 機密保持が前提のレポートが多い: ほとんどのレポートは NDA 相当の条件付きで提供され、第三者への共有が制限される。SOC 3 のように公開可能なものもある
• 契約の単位: 契約はアカウント単位、または AWS Organizations を通じて組織全体を対象に管理できる
• 権限は IAM で制御: レポートの取得や契約の受諾は IAM の権限で細かく制御でき、誰がアクセスできるかを絞れる
• レポートには対象期間や有効範囲があり、提出時には対象期間が要件を満たすかを確認する

内部の仕組み

AWS Artifact の役割はシンプルで、「AWS が第三者監査で得たレポート」と「AWS との契約文書」を、利用者が必要なときに取り出せる窓口を提供することです。AWS は外部の監査機関による評価を定期的に受けており、その結果をレポートとして Artifact 上に公開します。利用者はマネジメントコンソールや API からそれらを検索し、ダウンロードします。

レポートを取得する際には、多くの場合その内容を機密として扱う条件への同意が求められます。同意したうえでファイル（多くは PDF）を取得し、自社の監査人や取引先へ提出します。これにより、AWS のインフラ側の統制状況を一次情報として示せます。

契約面では、Artifact Agreements を通じて BAA などの契約をオンラインで確認・受諾できます。AWS Organizations と連携している場合は、組織を代表するアカウントが組織全体に適用される契約をまとめて受諾でき、メンバーアカウントごとに個別対応する手間を省けます。

設計パターン / ベストプラクティス

• 必要なレポートを把握しておく: 自社が対応すべき基準（SOC・ISO・PCI DSS など）を整理し、どのレポートをいつ取得するかをあらかじめ決めておく
• 取得タイミングを監査サイクルに合わせる: レポートには対象期間があるため、監査要件を満たす最新版を提出直前に取得する
• 機密保持の取り扱いを定める: 機密扱いのレポートを誰に・どこまで共有してよいかを社内ルール化し、NDA 条件に違反しないようにする
• 契約は組織単位で集約: AWS Organizations を使い、BAA などの契約は組織を代表するアカウントでまとめて受諾し、アカウント増減に強い運用にする
• アクセス権限を最小化: レポート取得や契約受諾の権限は、コンプライアンス担当など必要な担当者に限定する
• 自社側の証跡は別サービスで: 自社環境の監査証跡は Audit Manager や Config、Security Hub で整え、Artifact のレポートと組み合わせて全体像を示す

運用・監視

• 監査や取引先評価で必要になるレポートを定期的に取得し、最新版を手元に保つ
• 契約（BAA など）の受諾状況を把握し、組織のアカウント構成が変わった際に抜け漏れがないか確認する
• レポート取得や契約操作は AWS CloudTrail に記録されるため、誰がいつアクセスしたかを追跡できるようにしておく
• 機密保持の条件付きで取得したレポートの保管場所と共有範囲を管理し、不適切な外部共有を防ぐ
• 対応すべきコンプライアンス基準に変更があれば、取得対象のレポートを見直す

コスト

AWS Artifact 自体の利用は無料で、レポートのダウンロードや契約の受諾に料金は発生しません。コンプライアンス対応の証跡を入手するためのコストを抑えられる点はメリットです。ただし、Artifact で得たレポートはあくまで AWS インフラ側の統制を示すものであり、自社環境の監査証跡を継続的に整えるには AWS Config・Security Hub・Audit Manager といった別サービスが必要で、そちらには個別の課金が発生します。最新の料金は公式の料金ページで確認してください。

セキュリティ

• レポートの多くは機密扱いのため、取得後の 保管にはアクセス制限と暗号化 を施し、許可された範囲外に共有しない
• レポート取得や契約受諾の権限は IAM で 最小権限 に絞り、コンプライアンス担当など必要な担当者だけに付与する
• 操作は CloudTrail に記録されるので、ログを有効化して 誰がどのレポートを取得・契約したか を追跡可能にしておく
• Artifact が提供するのは AWS 側の統制証跡であり、利用者は責任共有モデルの「セキュリティ "in" the cloud」を別途担保する必要がある

関連サービス・比較

ハンズオン / CLI例

# 取得可能なレポートの一覧を確認
aws artifact list-reports

# 指定したレポートのダウンロード用 URL を取得
aws artifact get-report \
  --report-id <report-id> \
  --report-version <version>

# アカウントに紐づく契約条件の一覧を確認
aws artifact list-customer-agreements