AWS 責任共有モデルを GxP ソリューションに適用する

この記事は “Applying the AWS Shared Responsibility Model to your GxP Solution” を翻訳したものです。

AWS 責任共有モデルは、AWS のセキュリティ原則を説明するトピックとしてよく説明されますが、GxP などのコンプライアンス関連のアクティビティにも適用できます。共有モデルは、AWS とお客様（訳者注: AWS を利用するためにお客様が起用する SI 事業者やソリューションパートナー等を含みます）との間のタスクの分離を示す建設的なメカニズムを提供します。AWS はクラウド “の” セキュリティとコンプライアンスを担当し、お客様はクラウド “における” セキュリティとコンプライアンスについて責任を負います。

車の運転に例えてそれを説明しましょう。車のエンジンがどのように動くかや空調がどのように車内を涼しくさせるかをあなたが理解する必要はありません。必要なのは、車を運転し、車の基本的な機能を制御するスキルだけです。この考え方において、その車の使用に関して歩行者と運転手が依拠している安全基準に自動車メーカーが準拠していることをあなたは期待します。一方で、車の操作、運転速度、交通法遵守、そして誰にその車に対するアクセスを許可して車の鍵を共有するかといった内容に関して、運転手としてあなたは責任を負うことになります。

この例えを AWS クラウドベースのソリューションに適用すると、AWS のクラウド “の” セキュリティに対する責任には、ハードウェア、グローバルインフラストラクチャ、リージョン、アベイラビリティーゾーン、エッジロケーションの機能と運用方法が含まれます。また、コンピューティング、ストレージ、データベース、ネットワークサービスを担当するインフラストラクチャソフトウェアも責任範疇に含まれています。AWS のお客様は、クラウド “における” セキュリティや、クラウドに組み込まれるものについて責任を負います。これには、ネットワーク構成、お客様が管理する暗号化、ID とアクセス管理 (IAM)、アプリケーション、顧客データが含まれます。この概念を図1に示します。

図 1: AWS の一般的な責任共有モデル

責任共有モデルとサービスカテゴリ

AWS は、クラウド “の” 責任とクラウド “における” 責任の間にある境界線をシフトするようなさまざまなサービスを提供しています。例えば、車には（後述するようなものと）同じビルトイン機能はありません。乗客用に備え付けられたエンターテイメントシステムのない、基本的な車両を購入するという選択肢があります。技術的に精通している場合は、メディアプレーヤーを構築し、同乗者が視聴する画面をアクセサリーとして追加することができます。このカスタムメイドのエンターテイメントシステムが故障したり、深刻な問題がある場合は、それを構築した人が修理する責任を負います。その車を販売したサービスセンターは、あなたが車に追加したソリューションについては責任を負わないでしょう。第二の選択肢としては、購入した車のディーラーで市販品を購入し、それを自分で据え付けることも可能でしょう。この場合、市販品が不具合になった時に、サービスを受けるために車を持ち込んだとしてもディーラーはこの市販品の責任は負いませんが、サービスを受けるために市販品の製造元に持ち込むことができます。最後に、エンターテイメントシステムを含む車を購入する場合があるでしょう。この場合、エンターテイメントシステムを含むすべてのサービスは、車両を購入するときに含まれます（例えば、その車の管理はディーラーの責任になります）。これらすべてのシナリオにおいても、エンターテイメントシステムで再生する音楽や映画 (ソリューションで使用および保存されるデータ) についてはお客様が責任を持つことになります。ここで複数の利用者が存在する場合を考慮することは欠かせません（例えばこの車が複数の利用者で共有される場合）。車は複数の乗客をサポートしていますが、子供を含む乗客のプロファイルを設定することで子供が成人向け動画にアクセスできないようにすることは所有者の責任です（データセキュリティと隔離）。

こうした車における例えによって、さまざまなシステムの基盤となる構造の責任レベルに応じて AWS サービスがどのようにセグメント化できるかが示されています。先ほどの「独自のメディアシステムを構築する」ことは、Amazon EC2 をデプロイし、ソリューションを開発するためにインフラストラクチャサービスを利用することに相当します。車の例では、車両は電源、エンジンが動作しないときの予備バッテリー、および湿っていることのない安全な内装などの基本的なニーズを満たして提供されます。その上であなたはメディアシステムを構築し、それを車に接続し、動作するように構成しました。同様に、Amazon EC2 はコンピューティング環境を提供し、お客様はオペレーティングシステムやアプリケーションソフトウェアなどのソリューション全体を制御し、ソフトウェアが他のコンポーネントとどのように連携するかを設定することができます。このように、上記の自動車のベース車両モデルと同様に、Amazon EC2 はインフラストラクチャサービスと捉えることができ、その上でお客様が実行するためのソリューションを作成するのです。

2 番目のシナリオでは Amazon RDS のようなサービスを考えてみましょう。ここでは、パッケージ済みのメディアソリューションを購入します。お客様はその構成とそのアクセス方法について責任を負いますが、それが内部でどのように動作するのかといった内容については責任を負いません。これは、内部を設定できるコンテナ化されたタイプのサービスであると考えることができます。

最後のシナリオでは Amazon S3 のようなサービスを考えてみましょう。車両にプリインストールされたメディアシステムと同様に、お客様は持ち込んだデータとそのデータへのアクセスを設定する責任がありますが、その機能の制御はお客様が行うことなく、AWS が管理します。このようにして、サービスの詳細までをお客様が知ることはありません。

図2: サービス・タイプ別責任共有モデル

AWS は、クラウド “の” 責任とクラウド “における” 責任との間のスペクトルについて連続性を提供します。これにより、ソリューション開発者はイノベーションに集中でき、AWS はインフラストラクチャとサービス管理に関して差別化に繋がらない重労働を引き受けます。このスペクトルにより、お客様はソリューション要件と規制要件の両方に最適なサービスを柔軟に選択できます。

AWS ドキュメントを証跡として活用する

これらのさまざまなレベルの責任は、ソリューション開発のさまざまな側面にも適用され、セキュリティとコンプライアンスに関連するアクティビティにも適用されます。コンプライアンスの観点では、この一般的なモデルは HIPAA、HITRUST、GxP などに適用されます。コンプライアンス要件が満たされていることを示す証跡を提供する責任を「誰が」（AWS とお客様のどちらが）負っているかを判断するために、前述の責任モデルのガイドラインを使用して評価を行うことができます。

GxP コンプライアンスを必要とするソリューションの場合、責任共有モデルによって、その品質システムの提供責任者とそれをサポートするために必要となるドキュメント成果物が定義されます。インフラストラクチャサービスまたはコンテナサービスを使用して構築およびデプロイされたソリューションと比較した際の、マネージドサービスから構築されたソリューションの優劣について、GxP が決定することはありません。品質システムが関心を持っていることは、お客様が構築しているものとその構築方法を文書化し、確立されたプロセスにお客様が準拠したという証跡を提供することだけです。これは、お客様が構築されたものについてのアイディエーションや要件分析、設計、構築、テスト、バリデーションとベリフィケーションといった取り組みから文書化された証跡を提供することに他なりません。

AWS を含んだソリューションを構築していて、それが GxP コンプライアンスを必要とする場合は、まず供給者監査を完了する必要があります。お客様のアカウントの AWS コンソール上の AWS Artifact サービスを通してさまざまなドキュメント成果物へのアクセスを提供することで、AWS は供給者監査を支援しています。AWS Artifact は、Quality Management System Overview (品質管理システム概要) などの AWS コンプライアンスレポートへのオンデマンドアクセスを提供するセルフサービスツールです。また、ISO、SOC、その他に関連する第三者による監査レポートをダウンロードする機能もあります。これらのドキュメントとレポートは、AWS サービスとインフラストラクチャを使用するにあたって必要な証跡と証明になります。AWS Artifact レポートを通じて、どのように AWS のサービスが構築され管理されているかを示すドキュメントを AWS は提供しており、第三者の監査認定はこれらのプロセスに従った証跡となります。AWS ドキュメントおよびサービスレベルアグリーメントには、お客様の設計文書で参照できる各サービスの仕様が記載されており、お客様が定義した要件をサービスが満たしていることを示す証跡となります。

Amazon S3 などのマネージドサービスを使用する場合は、お客様は、顧客データ、クライアント側の暗号化設定、およびアクセス制御設定を証拠立てる文書と証跡を提供する責任を負います。お客様のドキュメントに記載された要件を AWS マネージドサービスが満たしている証跡として、AWS のドキュメントと認定を参照することができます。

インフラストラクチャサービスを利用する場合、多くの一般的なソフトウェアスタックについてお客様が責任を持つことになります。マネージドサービスと同様に、AWS のドキュメントと認定は、コンピューティング、ストレージ、ネットワーク、ハードウェアインフラストラクチャをサポートするために使用されます。お客様は、クライアントとサーバー側の暗号化、ネットワークトラフィック保護、OS の構成とパッチ適用、インフラストラクチャサービスで実行されているプラットフォームとアプリケーションといった、インフラストラクチャサービスを利用するソフトウェアスタックのドキュメントと証跡について責任を負います。

まとめ

AWS は、GxP やその他の規制またはコンプライアンスフレームワークを必要とするソリューションで利用できる、さまざまなサービスを開発者に提供しています。幅広いサービスにより、ソリューションの開発者は、柔軟にカスタマイズ可能でありお客様側の責任範囲が大きくなる選択肢や、基本設定のみでお客様側の責任範囲がより小さくなるフルマネージド型サービスの選択肢のいずれかを柔軟に選択できます。このようにして AWS は、インフラストラクチャやソリューションの作成という観点だけでなく、コンプライアンスのドキュメントや実践といった観点でも、差別化に繋がらない重労働の削減を支援いたします。

AWS での GxP の詳細については、「もっと詳しく」セクションのリンクを参照してください。また、お客様の GxP ジャーニーをサポートするために利用可能なさまざまなプログラムやサービスに関して、AWS のお客様担当もしくはこちらのお問い合わせページでお気軽にお問い合わせください。

もっと詳しく

• AWS 責任共有モデル
• クラウドにおけるライフサイエンスコンプライアンス
• AWS GxP コンプライアンス
• クラウドでのGxPコンプライアンスの自動化:ベストプラクティスとアーキテクチャガイドライン (ブログ)
• GxP ワークロード向けに AWS サービスを承認するには (ブログ)
• 据付時適格性評価（IQ）ステップの自動化、GxPコンプライアンスの迅速化 (ブログ)
• GxP システムで AWS 製品を使用する場合の考慮事項 (ホワイトペーパー)

著者について

ハービー・ルーバック
ハービー・ルーバックは、アマゾンウェブサービスのヘルスケアおよびライフサイエンスチームのシニアパートナーソリューションアーキテクトです。音声認識、航空宇宙、医療、ライフサイエンスなど、幅広い業界において、25年以上の専門ソフトウェア開発とアーキテクチャの経験を有しています。余暇では、彼は彼の家族や友人と時間を過ごし、ニューヨーク州に新築した家屋のまわりを散歩し、彼の妻が新築した家に求めるプロジェクトの終わることのないリストに取り組むことを楽しんでいます。

トム・リチャーズ
トム・リチャーズはシニアパートナーソリューションアーキテクトで、運輸・製造から公共部門、防衛産業まで、25年以上の実践的なアーキテクチャと開発経験を有しています。しかし、彼の得意とする専門分野の大半はヘルスケアおよびライフサイエンス分野にあります。近年では、規制された環境で運用するためのクラウドベースのヘルスケアプラットフォームとエッジソリューションの設計を支援することに力を注いでいます。余暇では、自分の子供に楽しんでもらうよう、コンピュータやロボットを構築することに楽しみを見出しています。

翻訳はソリューションアーキテクトの鳥羽が担当しました。原文はこちらです。