なんかセキュリティが気になる人が多いようなのでちょっと調べた。

基本的には以下の公式サイトにまとまってる。
クラウドセキュリティ | AWS

ホワイトペーパーで重要そうなのこの辺。

• AWS セキュリティ概要（日本語）※リンク先PDF注意

→AWS側のセキュリティについて書いてる。SecurityGroupってどのレイヤで実装されてるのか気になってたのだけど、この資料を見る限りXenのハイパバイザ層で実装してインスタンス間のトラフィックを分離してるっぽい。

• AWS セキュリティのベストプラクティス※リンク先PDF注意

→AWS/ユーザの責任分界点とかユーザ側のセキュリティについて何を考えないといけないか書いてる。パッチを当てろとかわりと当たり前の漠然としたことも書いてるし、AWS特有のIAMユーザの話とかVPCの話とかも出てくるけど、HowToではないので、設定方法とかは各自マニュアル読むなり調べろというかんじ。

• セキュリティ監査チェックリスト※リンク先PDF注意

→網羅的な観点でチェックしたいのに役立ちそうなチェックリスト。ただAWSでシステムが完結しない場合は、もっと汎用的なチェックリストを使ったほうがよいかもしんないけど、AWS特有の考慮点もあるので参考にはなると思う。

あと、FISC関連の資料でよさそうなのがこのへんにあった。
FISC - アマゾン ウェブ サービス (AWS)
この中にある「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」というのがFISCの各項目とAWSの場合の解釈がユーザ視点で載っててよさげ。概要版は無料でダウンロードできる。詳細版はパートナーに個別に連絡しないともらえなさそう。
同じレベルでPCIDSS版がないか探してみたけど見つからず。AWS自体はPCIDSSレベル1取得していると書いてあるけど、ユーザ視点で解釈が載ってるいいかんじのチェックリストは見つけられず。
ちなみにAWSに限らずPCIDSS自体の細かいチェックリストは以下にあるやつ。
https://ja.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php
設定だけではなくて承認と記録とドキュメント化がやたらと要求されるのでツラミある。