多くの場合、クラウドサービスでは企業独自の管理システムと比べて、ユーザーがセキュリティを対策する範囲が小さくなります。
そのため、ユーザーのセキュリティに関する負担は軽くなりますが、ユーザーの責任範囲については確認の上、その範囲に応じた対策を練っておく必要があります。
クラウド事業者は、セキュリティに関して一般的に「責任共有モデル」という仕組みを採用しています。これは、クラウド事業者側とユーザー側それぞれの責任範囲を定めることで、全体のセキュリティを保証することが目的です。
今回は、クラウド事業者の中でも、Amazon Web Service(AWS)が採用している責任共有モデルについて解説していきます。
参考:AWS「責任共有モデル」
URL:https://aws.amazon.com/jp/compliance/shared-responsibility-model/
AWS責任共有モデルとは?
AWS責任共有モデルについて徹底解説!
AWSの責任共有モデルは、AWSで提供されるサービスにおいて、AWSが責任を持つ部分とユーザーが責任を持つ部分を明確に分割する考え方です。
AWS責任共有モデルにおける責任範囲は、AWS側とユーザー側それぞれで、大まかには次のようになっています。
まずAWS側は、ハードウェアやソフトウェア、データセンターなどのインフラ、つまりクラウドサービスそのもののセキュリティに責任を負います。このAWS側の責任を「クラウドのセキュリティ(Security of the Cloud)」と呼びます。
対してユーザー側は、クラウドサービス上にあるアプリケーションやデータに対するセキュリティに責任を負います。このユーザー側の責任を「クラウドにおけるセキュリティ(Security in the Cloud)」と呼びます。
以下でそれぞれについてより詳しく説明します。
AWS側が責任を負う「クラウドのセキュリティ」
ここまでの用語を整理すると、AWS責任共有モデルにおけるAWS側の責任範囲が、「クラウドのセキュリティ」だということになります。
では実際に、「クラウドのセキュリティ」はどのように担保されているのでしょうか。AWSが行なっている対策をいくつかご紹介します。
データセンターの災害対策
AWSのデータセンターは、地震、洪水、異常気象などを慎重に想定した上で、そういった災害のリスクを軽減できる場所に設置されています。
もしデータセンターが稼働不能の状態に陥った場合でも、独立した別の地域で処理を継続することができるようになっています。
データセンターの犯罪対策
データセンターへの犯罪とは、データの盗難や改竄、破壊などのことです。
そうした犯罪への対策のために、AWSはデータセンターの場所を非公開にしています。施設には警備員、防御壁、侵入検知システム、監視カメラ、二要素認証などを用いた厳重な警備体制がしかれています。
さらに職員の立ち入りも厳しくチェックされており、AWS関係者であっても物理的なアクセスが許可されているのは権限を持つ担当者だけです。
また、全てのアクセスには申請と許可が必要で、入場した後も定められた期限とエリアによって制限され、記録されています。
インフラの管理強化
データセンターの電力システムは冗長化されており、24時間年中無休で稼働しています。さらに、電力障害が起きたときに備えて、施設内の重要かつ不可欠な業務に対応するための、バックアップ電源も整備されています。
また、施設内は空調によってハードウェア運用に適切な温度が保たれ、作業員とシステムが、温度と湿度を監視してコントロールしています。
ユーザー側が責任を負う「クラウドにおけるセキュリティ」
AWS責任共有モデルにおけるユーザー側の責任範囲のことを「クラウドにおけるセキュリティ」と言いました。
ユーザーが責任を負う「クラウドにおけるセキュリティ」は、ユーザーが利用しているAWSサービスによって異なります。
つまりどのサービスを利用するかによって、ユーザー側の責任範囲は変化するということです。そのため、ユーザーは実現したいことや負担できるコストに応じて、適切なサービスを選択する必要があります。
以下でクラウドサービスの3つの分類(SaaS・PaaS・IaaS)ごとに、大まかなユーザー側の責任について紹介します。あくまで大まかものですので、詳しくはサービスごとの責任範囲を確認してください。
なおSaaS・PaaS・IaaSという分類についてはこちらを参照ください。
参考:株式会社トップゲート「図解でわかる!SaaS、PaaS、IaaSの違いとクラウドサービスとの関係性について」
URL:https://www.topgate.co.jp/saas-paas-iaas
IaaSにおけるユーザー側の責任
IaaSでは、基本的にクラウド事業者はハードウェアやネットワークといったインフラにのみセキュリティの責任を負います。
そのため、OSやミドルウェアのセキュリティの責任は基本的にユーザー側が負うことになります。
AWSサービスでは、Amazon EC2がIaaSに分類されます。
PaaSにおけるユーザー側の責任
PaaSでは、クラウド事業者がインフラだけでなく、OSやミドルウェアについてもセキュリティの責任を負います。
そのため、ユーザー側はOSやミドルウェアについては気にせずに、構築したシステムのセキュリティにのみ注力できるので、セキュリティの負担が軽くなります。
AWSサービスではAmazon RDSがPaaSに分類されます。
SaaSにおけるユーザー側の責任
SaaSでは、クラウド事業者がほぼすべての領域についてセキュリティに責任を負います。
そのため、ユーザーは基本的に提供されるサービスを利用していればよく、セキュリティについてはほとんど意識する必要すらないことになります。
AWSサービスではSaaSに該当するものはありません。
まとめ
AWS責任共有モデルについて解説してきましたが、いかがでしたでしょうか。
AWSサービスを利用するにあたって、AWS側とユーザー側にどのように責任範囲が定められているか調べておく作業は大切です。
とくにユーザーが負うセキュリティ責任については、それぞれのサービスに応じて異なるため、詳しくみておく必要があります。
AWSサービスを利用する上でのリスクをきちんと検討して、問題が起きたときに対応できるように事前に対策を練っておきましょう。
ONETECH AWS
ONETECHはベトナムでオフショア開発をしています。近年はクラウドでシステムを構築したいという要望を持ったお客様が増えています。弊社ではすでに多くのAWSの設計、構築、運営をしてきました。今後はサーバレスサービスを積極的に提案してお客様を支援してまいります。
ベトナムオフショア開発会社 ONETECHはAWSセレクトティアパートナー
もし、AWSについてプロのアドバイスが欲しいのなら、ぜひONETECHにご相談ください。
ONETECHはオフショア開発会社として100社以上との取引実績を誇ります。
ONETECHではAWS資格保有のエキスパートがお客様の課題をカタチにします。
- インターネットサービスの企画はあるがどうしたら良いか
- どのようにクラウドを利用したら良いかわからない
- クラウドを利用するためのコストやポイントを知りたい
- 保守運用まで考慮した設計をしたい
AWSのコンサルティングサービスを提供しています。気になること、不安なことをお気軽にご相談ください。
