責任共有モデル

概要

セキュリティとコンプライアンスは AWS とお客様の間で共有される責任です。この共有モデルは、AWS がホストオペレーティングシステムと仮想化レイヤーから、サービスが運用されている施設の物理的なセキュリティに至るまでの要素を AWS が運用、管理、および制御することから、お客様の運用上の負担を軽減するために役立ちます。お客様には、ゲストオペレーティングシステム (更新とセキュリティパッチを含む)、その他の関連アプリケーションソフトウェア、および AWS が提供するセキュリティグループファイアウォールの設定に対する責任と管理を担っていただきます。使用するサービス、それらのサービスの IT 環境への統合、および適用される法律と規制によって責任が異なるため、お客様は選択したサービスを慎重に検討する必要があります。また、この責任共有モデルの性質によって柔軟性が得られ、お客様がデプロイを統制できます。以下の図に示すように、この責任の相違は通常クラウド “の” セキュリティ、およびクラウド “における” セキュリティと呼ばれます。

AWS の “クラウドのセキュリティ” 責任 – AWS は、AWS クラウドで提供されるすべてのサービスを実行するインフラストラクチャの保護について責任を負います。このインフラストラクチャはハードウェア、ソフトウェア、ネットワーキング、AWS クラウドのサービスを実行する施設で構成されます。

お客様の “クラウドにおけるセキュリティ” 責任 – お客様の責任は、選択した AWS クラウドのサービスに応じて異なります。選択によって、セキュリティに関する責任の一環としてお客様が実行する構成作業の量が決定されます。たとえば、Amazon Elastic Compute Cloud (Amazon EC2) などのサービスは Infrastructure as a Service (IaaS) に分類されているため、必要なすべてのセキュリティ構成および管理のタスクをお客様が実行する必要があります。お客様が Amazon EC2 インスタンスをデプロイした場合、お客様は、ゲストオペレーティングシステムの管理 (更新やセキュリティパッチなど)、インスタンスにインストールしたアプリケーションソフトウェアまたはユーティリティの管理、AWS より各インスタンスに提供されるファイアウォール (セキュリティグループと呼ばれる) の構成に責任を負います。 Amazon S3 や Amazon DynamoDB などの抽象化されたサービスの場合、AWS はインフラストラクチャレイヤー、オペレーティングシステム、およびプラットフォームを運用し、お客様はエンドポイントにアクセスしてデータを保存および取得します。お客様は、データの管理 (暗号化オプションを含む)、アセットの分類、IAM ツールでの適切な権限の適用について責任を負います。

Shared_Responsibility_Model_V2_JP

お客様と AWS のこの責任共有モデルは、IT 統制にも適用されます。AWS とお客様との間で IT 環境を運用する責任が共有されているように、IT 共有統制の管理、運用、および検証も共有されています。AWS は、コントロールの運用に対するお客様の負担を軽減することができます。これは、お客様が以前管理していた AWS 環境にデプロイ済みの物理インフラストラクチャに関するコントロールを管理することで可能になります。お客様によって AWS のデプロイ方法は異なります。特定の IT 統制の管理を AWS に移行し、(新しい) 分散統制環境を構築する作業は、お客様の判断で行うことができます。お客様は AWS の統制およびコンプライアンスに関するドキュメントを使用して、必要に応じた統制の評価および検証手順を実行できます。以下は、AWS、お客様、またはその両方によって管理される統制の例です。

継承される統制 – お客様が AWS から完全に継承する統制です。

  • 物理統制と環境統制

共有統制 – インフラストラクチャレイヤーとお客様レイヤーの両方に適用される統制です。ただし、コンテキストや観点は完全に異なります。共有統制では、AWS がインフラストラクチャに対する要件を提供し、お客様は AWS のサービスの使用に対して独自の統制を実装する必要があります。以下に例を示します。

  • パッチ管理 – AWS がインフラストラクチャの不具合に対するパッチ適用および修復に責任を負いますが、お客様はゲスト OS およびアプリケーションのパッチ適用に責任を負います。
  • 構成管理 – AWS がインフラストラクチャデバイスの構成を保守しますが、お客様は独自のゲストオペレーティングシステム、データベース、アプリケーションの構成に責任を負います。
  • 意識とトレーニング – AWS が AWS の従業員のトレーニングを実施しますが、お客様の従業員のトレーニングはお客様が実施する必要があります。

お客様固有 – AWS のサービスにデプロイするアプリケーションに基づいて、お客様がすべての責任を負う統制です。以下に例を示します。

  • お客様が特定のセキュリティ環境内でデータをルーティングまたは区分する必要がある、サービスおよび通信の保護またはゾーンセキュリティです。
compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »