Amazon Web Services ブログ

Amazon EKS のゼロオペレーターアクセス設計を独立した第三者機関が裏付け

本ブログは 2025 年 11 月 12 日に公開された AWS Blog “Amazon Elastic Kubernetes Service gets independent affirmation of its zero operator access design” を翻訳したものです。

本日 (2025 年 11 月 12 日)、Amazon Elastic Kubernetes Service (Amazon EKS) のゼロオペレーターアクセス体制について、独立した第三者機関により裏付けられたことを発表しました。

Amazon Web Services (AWS) では、セキュリティは最優先事項です。この信念のもと、規制業界のお客様や最も厳格なセキュリティ要件を持つお客様が求めるデータプライバシーを実現できるよう、マネージド Kubernetes サービス向けの運用アーキテクチャを設計・実装しています。これにより、重要かつ機密性の高いワークロードを安心して AWS 上で実行できます。AWS のサービスは、Amazon EKS の管理において、AWS の従業員が顧客コンテンツを読み取り、コピー、抽出、変更、またはその他の方法でアクセスする技術的な経路を持たないように設計されています。

AWS では、信頼を獲得することは単なる目標ではなく、あらゆる意思決定の指針となるリーダーシッププリンシプルの 1 つです。お客様が AWS を選ぶのは、ワークロードの構築、移行、実行、およびデータの保存に最も安全なグローバルクラウドインフラストラクチャを提供すると信頼しているからです。この信頼をさらに高めるため、AWS は AWS Trust Center を立ち上げ、AWS クラウドでお客様の資産をどのように保護しているかについての情報をより入手しやすくしました。この立ち上げに合わせて、業界をリードするデータプライバシー体制を示すためのオペレーターアクセスへのアプローチと、AWS クラウドにおける AWS 責任共有モデルでの AWS の責任をどのように果たしているかについて、Trust Center で説明しています。

AWS のコアシステムとサービスの多くは、ゼロオペレーターアクセスで設計されています。これは、少なくともサービスの管理において顧客コンテンツへいかなる手段でもアクセスできないよう、アーキテクチャとモデルが運用されることを意味します。これらのシステムとサービスは、自動化とセキュアな API を通じて管理されており、過失であれ故意であれ顧客コンテンツへのアクセスを防いでいます。このようなサービスには、AWS Key Management Service (AWS KMS)Amazon Elastic Compute Cloud (Amazon EC2)AWS Nitro System を通じて)、AWS LambdaAmazon EKSAWS Wickr があります。

AWS は AWSのデジタル主権に関するお客様との約束 において、AWS サービスがどのように設計・運用されているか、特に顧客コンテンツの取り扱いについて、お客様により高い透明性と保証を提供することを約束しました。この透明性向上の一環として、英国を拠点とする大手サイバーセキュリティコンサルティング会社である NCC Group に、Amazon EKS のアーキテクチャと、お客様に提供しているセキュリティ保証について独立したアーキテクチャレビューを依頼しました。NCC Group はレポートを発行し、AWS のセキュリティに関する主張を裏付けました。レポートには次のように記載されています。

“NCC Group found no architectural gaps that would directly compromise the security claims asserted by AWS.”

(NCC Group は、AWS のセキュリティに関する主張を損なうようなアーキテクチャ上のギャップを検出しませんでした。)

具体的には、このレポートは Amazon EKS のセキュリティポスチャに関する以下の内容を検証しています。

  • AWS の従業員がマネージド Kubernetes コントロールプレーンインスタンスにインタラクティブにアクセスする技術的手段は存在しない
  • AWS の従業員がマネージド Kubernetes コントロールプレーンインスタンス内の顧客コンテンツを読み取り、コピー、抽出、変更、またはその他の方法でアクセスする技術的手段は存在しない
  • AWS の従業員が Kubernetes コントロールプレーンインスタンスを管理するために使用する管理 API は、Kubernetes データプレーン内の顧客コンテンツにアクセスできない
  • Kubernetes コントロールプレーンを管理するために使用される管理 API への変更には、常に複数人によるレビューと承認が必要
  • AWS の従業員が etcd データベースのバックアップストレージ内の顧客コンテンツにアクセスする技術的手段は存在しない。etcd データベースのデータ保護に使用される平文の暗号化キーには、AWS の従業員は誰もアクセスできない
  • AWS の従業員は、マネージド Kubernetes コントロールプレーンまたは Kubernetes データプレーン内の顧客コンテンツにアクセスすることなく、管理 API を使用してのみ Kubernetes クラスター API エンドポイントとやり取りできる。AWS の従業員が Kubernetes クラスター API エンドポイントで実行したすべてのアクションは、お客様が有効にした監査ログを通じてお客様に表示される
  • 管理 API へのアクセスには常に認証と認可が必要。管理 API によって実行されるすべての運用アクションはログに記録され、監査される
  • マネージド Kubernetes コントロールプレーンインスタンスは、信頼されたパイプラインによってデプロイされたテスト済みのソフトウェアのみを実行できる。AWS の従業員は、このパイプライン以外でマネージド Kubernetes コントロールプレーンインスタンスにソフトウェアをデプロイすることはできない

NCC Group の詳細なレポートでは、これらの各主張について、NCC Group が主張を評価するために使用した範囲、方法論、手順を含めて検証しています。

Amazon EKS がゼロオペレーターアクセスを実現する仕組み

AWS は常に最小権限モデルを採用し、顧客コンテンツを処理するシステムにアクセスできる人員を最小限に抑えています。各 AWS 従業員が割り当てられたタスクや責任を遂行するために必要な最小限のシステムにのみアクセスできるよう製品とサービスを設計し、そのアクセスも必要な時だけに制限しています。顧客データを保存または処理するシステムへのアクセスはすべてログに記録され、異常がないか監視・監査されます。AWS は、AWS の従業員が不正な目的で顧客コンテンツにアクセスすることを防ぐようにすべてのシステムを設計しています。これは AWS カスタマーアグリーメントAWS サービス条件で約束しています。AWS の運用において、お客様への通知と許可なしに顧客コンテンツにアクセス、コピー、または移動することは決してありません。

AWS の運用アーキテクチャでは、コンフィデンシャルコンピューティングを実現する AWS Nitro System ベースのインスタンスのみを使用して、マネージド Kubernetes コントロールプレーンを運用しています。

AWS は、限定的な操作のみ可能な管理 API を使用してアクセスを厳密に制御し、オペレーターが Kubernetes コントロールプレーンインスタンスへの直接アクセスやインタラクティブアクセスなしに、トラブルシューティングや診断のための許可リストに登録されたアクションを正確に実行できるようにしています。これらの API は、Kubernetes コントロールプレーンまたはお客様の Kubernetes データプレーン内の顧客コンテンツにアクセスする技術的手段を持たないよう最初から設計されています。

AWS の標準的な変更管理プロセスでは、これらの管理 API 自体の変更や、サービス運用のガードレールとなる関連ポリシーの変更には、複数人によるレビューと承認プロセスが組み込まれています。このモデルは、お客様が選択した Kubernetes データプレーンの起動モードに関係なく、すべての Amazon EKS クラスターで一貫して実装されています。

さらに、これらの限定的な操作のみ可能な管理 API とのすべてのやり取りはログを生成し、最小権限の原則に従って必須の認証と認可が行われます。クラスターの監査ログを有効にすることで、お客様は AWS の従業員がクラスターの API エンドポイントで実行したすべてのアクションを確認できます。

デフォルトで、AWS は すべての Kubernetes API データをエンベロープ暗号化による保存時暗号化を適用して etcd データベースに格納し、さらに etcd データベースのバックアップストレージを保護することで、クラスタースナップショット内の顧客コンテンツへのアクセスを防ぐ多層的な保護を実現しています。また、AWS のシステムは、etcd データベースとそのバックアップのデータを保護するために使用される平文の暗号化キーに AWS の従業員が誰もアクセスできないように設計されています。

これらのオペレーターアクセス制御は、ワーカーノードの実行方法に関係なく、Amazon EKS コントロールプレーンに一律に適用されます。セルフマネージド、Amazon EKS Auto ModeAWS Fargate のいずれでも同様です。AWS 責任共有モデルに記載されているとおり、Amazon EKS Auto Mode と Fargate 起動モードを除き、Kubernetes ワーカーノードの設定のセキュリティ確保はお客様の責任となります。Amazon EKS における AWS マネージドデータプレーン起動モードのセキュリティの詳細については、詳細情報セクションの関連リンクを参照してください。

まとめ

Amazon EKS は、AWS の従業員が Amazon EKS 内の顧客コンテンツを読み取り、コピー、変更、またはその他の方法でアクセスできないように設計・構築されています。AWS Nitro System ベースのコンフィデンシャルコンピューティング、限定的な操作のみ可能な管理 API、複数人による変更承認プロセス、エンドツーエンドの暗号化を使用することで、AWS はオペレーターアクセスの技術的経路を排除しています。NCC Group による独立した検証では、これらの保証を損なうようなアーキテクチャ上のギャップは検出されませんでした。Amazon EKS は最も厳格な規制要件やデジタル主権要件を満たすゼロオペレーターアクセスモデルを提供し、組織が最も機密性の高いミッションクリティカルなワークロードを AWS 上で安心して実行できるようにしています。

詳細情報

この記事に関するご質問がある場合は、AWS サポートにお問い合わせください。

Micah Hausler

Micah Hausler

Micah は AWS のプリンシパルソフトウェアエンジニアで、Kubernetes とコンテナセキュリティに注力しています。

Lukonde Mwila

Lukonde Mwila

Lukonde は AWS の Amazon EKS チームのシニアプロダクトマネージャーで、ネットワーキング、レジリエンス、運用セキュリティに注力しています。アプリケーション開発、ソリューションアーキテクチャ、クラウドエンジニアリング、DevOps ワークフローにおいて長年の経験があります。

Manuel Mazarredo

Manu Mazarredo

Manu はオランダのアムステルダムを拠点とする AWS のプログラムマネージャーです。AWS リージョンと業界全体にわたるコンプライアンスおよびセキュリティ保証の監査とエンゲージメントをリードしています。過去 20 年間、情報システム監査、倫理的ハッキング、プロジェクト管理、品質保証、ベンダー管理に従事してきました。

Tari Dongo

Tari Dongo

Tari はロンドンを拠点とする AWS のセキュリティ保証プログラムマネージャーです。EMEA 全体のサードパーティおよび顧客監査、証明、認証、評価を担当しています。以前は、Big 4 (四大会計事務所) および金融サービス業界でセキュリティ保証とテクノロジーリスクに従事していました。

本ブログは Security Solutions Architect の 中島 章博 が翻訳しました。