責任共有モデル

概要

セキュリティとコンプライアンスの責任は、AWS とお客様の間で共有されます。この共有モデルでは、ホストオペレーティングシステムや仮想化レイヤーから、サービスが運用されている施設の物理的なセキュリティまで、さまざまなコンポーネントを AWS が運用、管理、統制することにより、お客様の運用上の負担が軽減されます。一方、お客様は、ゲストオペレーティングシステム (更新やセキュリティパッチを含む) と関連する他のアプリケーションソフトウェアの管理、ならびに AWS から提供されるセキュリティグループファイアウォールの構成に責任を負います。お客様の責任範囲は、使用するサービス、IT 環境へのサービス統合、適用される法規によって異なるため、お客様は選択するサービスを慎重に検討する必要があります。また、この責任共有モデルの性質によって、お客様がデプロイを柔軟に管理できます。以下の図に示すように、この責任の相違は、通常、クラウド "の" セキュリティ、およびクラウド "における" セキュリティと表現されます。

AWS の責任は "クラウドのセキュリティ" – AWS は、AWS クラウドで提供されるサービスすべてを実行するインフラストラクチャーの保護に責任を負います。このインフラストラクチャーは、AWS クラウドのサービスを運用するためのハードウェア、ソフトウェア、ネットワーク、設備で構成されています。

お客様の責任は "クラウドにおけるセキュリティ" – お客様の責任範囲は、お客様が選択する AWS クラウドのサービスによって異なります。お客様が選択するサービスによって、セキュリティに関する責任の一環としてお客様が実行する必要がある構成作業の量が決まります。例えば、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3 といったサービスは Infrastructure as a Service (IaaS) に分類されるため、セキュリティの構成と管理に必要なタスクすべてをお客様が実行する必要があります。お客様が Amazon EC2 インスタンスをデプロイした場合、お客様は、ゲストオペレーティングシステムの管理 (更新やセキュリティパッチを含む)、インスタンスにお客様がインストールしたアプリケーションソフトウェアやユーティリティの管理、AWS から各インスタンスに提供されるファイアウォール (セキュリティグループと呼ばれる) の構成に責任を負います。

Shared_Responsibility_Model_V2_JP

お客様と AWS の責任共有モデルは IT 統制にも適用されます。IT 環境を運用する責任が AWS とお客様の間で共有されることと同様、IT 統制の管理、運用、検証も共有されます。AWS 環境にデプロイされた物理インフラストラクチャーに関連した統制をそれまでお客様が管理していた場合は、AWS が管理することで、お客様にかかる統制運用の負荷を軽減できます。お客様によって AWS のデプロイ方法は異なるため、特定の IT 統制の管理を AWS に移行して、(新しい) 分散統制環境を構築するかどうかはお客様が決定できます。構築後は、必要に応じて、AWS の統制およびコンプライアンスに関する文書を参照し、統制の評価と検証の手順を実行できます。AWS、AWS のお客様、その両方によって管理される統制の例を以下に示します。

継承される統制 – お客様が AWS から完全に継承する統制です。

  • 物理統制と環境統制

共有統制 – インフラストラクチャーのレイヤーとお客様のレイヤーの両方に適用される統制です。ただし、コンテキストや観点は完全に異なります。共有統制では、AWS がインフラストラクチャーに対する要求事項を満たし、お客様は AWS のサービスの使用に関して自分で統制を実装する必要があります。以下に例を示します。

  • パッチ管理 – AWS はインフラストラクチャーの不具合に対するパッチ適用および修復に責任を負い、お客様はゲスト OS とアプリケーションのパッチ適用に責任を負います。
  • 構成管理 – AWS はインフラストラクチャーデバイスの構成を維持管理し、お客様は自分のゲストオペレーティングシステム、データベース、アプリケーションの構成に責任を負います。
  • 意識とトレーニング – AWS は AWS の従業員のトレーニングを実施しますが、お客様はお客様の従業員のトレーニングを実施する必要があります。

お客様固有の統制 – AWS のサービスにデプロイしているアプリケーションに基づいて、お客様がすべての責任を負う統制です。以下に例を示します。

  • サービスおよび通信の保護またはゾーンセキュリティ。お客様は、特定のセキュリティ環境内におけるデータのルーティングまたは区分が必要な場合があります。
compliance-contactus-icon
ご質問がありますか? AWS のコンプライアンス担当者にご連絡ください
コンプライアンスの役割についてお知りになりたいですか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をご希望ですか?
Twitter でフォローしてください »