AWS の責任共有モデルを理解する – クライドのセキュリティの切り分け

AWS を初めてご利用になる方も、2012 年以降の re: Invent に毎回参加されている方も、クラウドのセキュリティや、またそれがお客様の貴重なテクノロジーやデータにどのような影響を与えるかについて疑問をお持ちではないでしょうか。特に、どこまでが AWS のセキュリティ責任で、どこからが自社のセキュリティ責任なのか、またクラウドのどの部分をアマゾンのセキュリティチームとテクノロジーに任せて安全に保ち、どの部分を自分で管理しなければならないのか、ということを気にされている方は多いのではないのでしょうか。これらの問題をよりよく理解するために、AWS の責任共有モデルを見てみましょう。

AWS の責任共有モデルとは

クラウドのセキュリティとコンプライアンスに関しては、AWS 責任共有モデルでは 「分割統治」 のアプローチをとっています。ホスト OS、仮想化レイヤー、物理的なハードウェア、インフラ、データセンターの設備など、すべてのコンポーネントに対する責任はAWSの管轄下にあります。お客様側では、ゲスト OS、実行中のアプリケーションやワークロード、データの暗号化、ファイアウォールの設定などの対応を行っていただくこととなっています。

このモデルは、日々のセキュリティ管理の負荷を軽減するだけでなく、万が一セキュリティ侵害が発生した場合の責任の所在を明確にすることができます。しかし、実際に最も重要なことは、AWS  共有責任モデルが、AWS が安全性を約束し続けていることをお客様に周知しつつ、お客様自身で注意して保護する必要があるものの文書を提供するということです。これにより、クラウドに配置するデータの量、AWS との共有範囲をどこまでコントロールするか、また、潜在的なセキュリティ脅威からビジネスを保護するためにどのような適切な措置を講じる必要があるのかについて、適切なアプローチをとることができます。

AWS は、その責任共有モデルを 「クラウドのセキュリティ」 と 「クラウドにおけるセキュリティ」 と呼んでいます。クラウド全体のセキュリティを確保するためのAWS とお客様の立場を理解するために、それぞれを詳しく見ていきましょう。

クラウドのセキュリティ

AWS は自社のインフラのセキュリティに特化しており、これには “すべての AWS クラウドサービスを実行するハードウェア、ソフトウェア、ネットワーク、および設備 “が含まれていると AWS は説明しています。

AWS はセキュリティを非常に重要視しており、さらに AWS はパブリック クラウドの先導者であることは明らかであり、これはクラウド自体が十分に保護されていることを意味します。 これは脅威に脅かされやすい世の中で真のデータ セキュリティに向けた素晴らしい第一歩です。

その一環として、AWS は、リージョン、アベイラビリティ ゾーン、エッジ ロケーションを含むすべてのグローバル インフラ、およびすべてのストレージ、データベース、ネットワーク サービスのソフトウェアとハードウェアに責任を負います。

一方、ガートナー社によると、(2025 年までの)クラウドのセキュリティ障害の 99% はお客様の責任になると言及しています。これが 「クラウドにおけるセキュリティ」 につながります。

クラウドにおけるセキュリティ

AWS はスポーツジムのロッカーのようなものです。丈夫で便利なロッカーには、財布や鍵などの身の回りの大切なものを入れておくことができます。しかし、ロッカーの中に入れたものを安全に保管するための鍵をかけるのは、お客様の責任です。

同様に、クラウドのセキュリティに関しても、AWS はハイパーバイザー層での次のすべてを管理しています。 パブリッククラウドを構成するハードウェア、ソフトウェア、ネットワーク、物理的な設備には、お客様の貴重なビジネスワークロード、データ、オペレーションのすべてを設けていただくことできます。しかし、顧客としては、クラウド内ですべてを安全に保つために、アイデンティティ、ポリシー、構成、暗号化など、ハイパーバイザー層より上のすべてを処理する必要があります。

これが、AWS 共有責任モデルを理解することが非常に重要な理由です。この意味を完全かつ包括的に理解していないと、知らず知らずのうちにクラウド内のデータやリソースが脆弱になってしまう可能性があります。

ここでは、お客様が保護する必要のあるハイパーバイザー レベル以上の主なコンポーネントをすべて説明します。

  • お客様の (顧客) データ
  • プラットフォーム
  • アイデンティティとアクセス コントロール
  • アプリケーション
  • 暗号化
  • OS
  • ネットワーク
  • ファイアウォールの設定

つまり、お客様が選択したすべてのデータ、使用しているアプリや保存しているパスワード、設置しているセキュリティパラメータ、そしてお客様のアイデンティティそのものが、お客様の責任であるということです。

クラウド内に適切なセキュリティ パラメータを設置するかどうかについては AWS はお客様の判断に委ねています。基本的には、クラウド利用者は、セキュリティグループ (ファイアウォール) の設定、それに応じたアクセス制御の実施、CloudTrail の有効化、データ損失防止ポリシーの実施、さらには脅威を検知・特定してそれを除去する責任があります。

クラウドでのセキュリティ対策を始めよう

デジタル化が進む社会ではハッキングが頻発しており、説明責任と AWS 共有責任モデルのようなセキュリティフレームワークの必要性がこれまで以上に高まっています。しかし、クラウドを利用しているお客様にとっては、「クラウドにおけるセキュリティ」 を管理するだけでも非常に複雑です。多くの社員がクラウドのアカウントにアクセスしているため、設定ミスなどの単純なヒューマンエラーが悲惨な結果を招くことがあります。


Spot の製品では AWS におけるクラウド インフラやコストの最適化を図ることができます。Spot の概要、価格、およびライセンス体系などの詳細は、 Spot ページをご覧ください。

評価版のお申込みはこちらよりお問い合わせください。


記事参照 :

The Spot.io blog

Understanding The AWS Shared Security Model