クラウドにおける責任共有モデルについて教えてください

セキュリティとコンプライアンスは、AWS とお客様の間の責任共有モデルです。この共有モデルは、ホストオペレーティングシステムや仮想化レイヤーから、サービスが運用されている施設の物理セキュリティまで、さまざまなコンポーネントを AWS が運用、管理、統制するというものです。このため、お客様の運用上の負担を軽減できます。お客様の責任としては、ゲストオペレーティングシステム(更新やセキュリティパッチなど)、その他の関連アプリケーションソフトウェア、ならびに AWS より提供されるセキュリティグループファイアウォールの設定の責任と管理が想定されます。お客様の責任範囲は、使用するサービス、IT 環境へのサービス統合、適用可能な法律および規制に応じて異なります。したがって、お客様は選択するサービスを注意深く検討する必要があります。また、この責任共有モデルの性質によって柔軟性が得られ、デプロイをお客様が統制できます。以下の図に示すように、この責任の相違は通常クラウド"の"セキュリティ、およびクラウド"における"セキュリティと呼ばれます。

AWS の責任は"クラウドのセキュリティ" – AWS は、AWS クラウドで提供されるすべてのサービスを実行するインフラストラクチャの保護に責任を負います。このインフラストラクチャはハードウェア、ソフトウェア、ネットワーキング、AWS クラウドのサービスを実行する施設で構成されます。

お客様の責任は"クラウドにおけるセキュリティ" – お客様の責任は、選択した AWS クラウドのサービスに応じて異なります。選択によって、セキュリティに関する責任の一環としてお客様が実行する構成作業の量が決定します。例えば、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3 などのサービスは Infrastructure as a Service (IaaS) に分類されているため、必要なすべてのセキュリティ構成および管理のタスクをお客様が実行する必要があります。お客様が Amazon EC2 インスタンスをデプロイした場合、お客様は、ゲストオペレーティングシステムの管理 (更新やセキュリティパッチなど)、インスタンスにインストールしたアプリケーションソフトウェアまたはユーティリティの管理、AWS より各インスタンスに提供されるファイアウォール (セキュリティグループと呼ばれる) の構成に責任を負います。

AWS 責任共有モデル

このお客様と AWS の責任分担モデルは IT 統制にも拡張されます。IT 環境を運用する責任を AWS とお客様の間で分担するのと同様に、IT 統制の管理、運用、および検証も分担となります。AWS 環境にデプロイした物理インフラストラクチャに関連した統制をそれまでお客様が管理していた場合は、AWS が管理することで、お客様にかかる統制の負荷を軽減できます。お客様によって AWS のデプロイ方法は異なります。特定の IT 統制の管理を AWS に移行し、(新しい)分散コントロール環境を構築する作業は、お客様の判断で行うことができます。お客様は AWS の統制およびコンプライアンスに関するドキュメントを使用して、必要に応じた統制の評価および検証手順を実行できます。以下は、AWS、お客様、またはその両方によって管理される統制の例です。

継承される統制 – お客様が AWS から完全に継承する統制です。

  • 物理統制と環境統制

共有統制 – インフラストラクチャレイヤーとお客様レイヤーの両方に適用される統制です。ただし、コンテキストや観点は完全に異なります。共有統制では、AWS がインフラストラクチャに対する要件を提供し、お客様は AWS のサービスの使用に対して独自の統制を実装する必要があります。以下に例を示します。

  • パッチ管理 – AWS がインフラストラクチャの不具合に対するパッチ適用および修復に責任を負いますが、お客様はゲスト OS およびアプリケーションのパッチ適用に責任を負います。
  • 構成管理 – AWS がインフラストラクチャデバイスの構成を保守しますが、お客様は独自のゲストオペレーティングシステム、データベース、アプリケーションの構成に責任を負います。
  • 意識とトレーニング – AWS が AWS の従業員のトレーニングを実施しますが、お客様の従業員のトレーニングはお客様が実施する必要があります。

お客様固有 – AWS のサービスにデプロイするアプリケーションに基づいて、お客様のみの責任となる統制です。以下に例を示します。

  • お客様が特定のセキュリティ環境内でデータをルーティングまたは区分する必要がある、サービスおよび通信の保護またはゾーンセキュリティ。
AWS 責任共有モデル

 

お問い合わせ