理解しておきたいAWSの共有責任モデル


つい最近まではバズワード的な印象の強かった「クラウド(サービス)」ですが、もはや今日のICTには欠かすことのできない存在となっています。しかしながら、総務省の調べによると、国内企業のうち約7割は、まだクラウドサービスを利用していないのが現状で、主な理由は以下の通りとなっています。

1位 必要がない 42.8%
2位 情報漏洩などセキュリティに心配がある 37.4%
3位 改修コストが大きい 22.9%

オンプレミスと比較し、コストや拡張性などで優位のあるクラウドですが、セキュリティ面を不安視する傾向は強いようです。では、実際にクラウドサービスを利用する場合、セキュリティに関してどこまでが自己責任となるのかをご存知でしょうか。
本稿では、クラウドサービスを利用する場合の責任範囲について、代表的なクラウドサービスであるAWS(Amazon Web Service)の「共有責任モデル」を例に説明していきたいと思います。

そもそも共有責任とは?

利用形態によって「SaaS」「PaaS」「IaaS/HaaS」に分けられるクラウドサービスですが、各形態によって、サービス事業者と利用者(ユーザー)のセキュリティに対する責任範囲が異なります。具体的な責任範囲は各サービスによりけりですが、一般的なものとしては、NISTによるクラウドの定義などがあります。以下に内容を一部抜粋しました。

SaaSユーザは基盤にあるインフラストラクチャを、ネットワークであれ、サーバーであれ、オペレーティングシステムであれ、ストレージであれ、各アプリケーション機能ですら、管理したりコントロールしたりすることはない。ただし、ユーザに固有のアプリケーションの構成の設定はその例外となる。
PaaSユーザは基盤にあるインフラストラクチャを、ネットワークであれ、サーバーであれ、オペレーティングシステムであれ、ストレージであれ、管理したりコントロールしたりすることはない。一方ユーザは自分が実装したアプリケーションと、場合によってはそのアプリケーションをホストする環境の設定についてコントロール権を持つ。
IaaS/HaaSユーザは基盤にあるインフラストラクチャを管理したりコントロールしたりすることはないが、オペレーティングシステム、ストレージ、実装されたアプリケーションに対するコントロール権を持ち、場合によっては特定のネットワークコンポーネント機器(例えばホストファイアウォール)についての限定的なコントロール権を持つ。

少し理解し難い文章ですが、つまり、クラウドのサービス事業者またはユーザーのどちらか一方が、セキュリティに対して全ての責任を負うわけではなく、利用形態に沿ったかたちで適切に責任を分担しましょうというのが、いわゆる「共有責任」というものです。

PaaSやIaaSは、ITインフラを提供するクラウドである性質上、この点に関しては特に重要で、アプリを開発し実際にサービスを運営するユーザーとの明確な責任の分担が必要となります。当然、AWSも例外ではありません。

AWSの共有責任モデル

では具体的に、AWSの共有責任モデルの中身を見ていきましょう。
まずは、クラウドサービス事業者であるAmazonの責任範囲です。

  • 施設、設備
  • 物理セキュリティ
  • 物理インフラ
  • ネットワークインフラ
  • 仮想インフラ
(参考:『情シス・マネージャーのための早わかりAWS入門』日立クラウドエヴァンジェリスト著

一見してわかるように、ユーザーが統制・制御できないインフラレベルの管理については、Amazonが責任をもつということです。物理セキュリティとはデータセンターの場所の秘匿や機密性などを指し、ネットワークインフラはAWSが提供するネットワークを介したサービスのセキュリティなどを意味します。あくまでも、AWSが提供するサービスに限定されるという点は要注意です。

次に、ユーザーの責任範囲です。

  • OS
  • データ
  • アプリケーション
  • セキュリティパッチ
  • 仮想ファイアウォール
  • ネットワーク設計
  • アカウント管理
(参考:上述書)

単にアプリケーションの範囲に留まらず、OSや仮想ファイアウォールなど、アプリが正常に動作する環境を包括的に管理し、適切なIT環境の設定・運用を行うところまでがユーザーの責任範囲となります。

AWSの公式サイトでは、これらの責任範囲をわかりやすく表現しています。かっこいいので英語も併せて。

AWS がクラウドのセキュリティを管理している一方で、クラウドにおけるセキュリティはお客様の責任となります。
While AWS manages security of the cloud, security in the cloud is the responsibility of the customer.

いざ、クラウドの世界へ

今回ご紹介した共有責任モデルはAWSに特化した内容であり、各クラウドサービス事業者ごとにそのモデル形態は様々です。またAWSひとつをみても、上記をベースに、提供するサービスによって異なる責任モデルを設定しています。

いちサービス事業者として、より良い製品やサービスをお客様へ提供するためには、コストやサービス面だけでなく、どれだけセキュリティ対策に注力しているかということも、数多くあるクラウドサービスの中から最適なものを選定する基準として、とても重要な視点ではないでしょうか。

 


関連記事一覧

コメント

  • コメント (0)

  • トラックバックは利用できません。

  1. この記事へのコメントはありません。

we love develop
アプリやシステムの開発を通じて、お客様のビジネスを成長させることが私たちのビジネスです。お気軽にお問い合わせください。
 お問い合せ

お電話でのお問い合わせはこちらから
TEL:03-5297-2871

メールマガジンの登録

キャパでは誰かに話したくなるようなIT小ネタを、週に一回メルマガで配信しています。
ぜひ購読してみませんか?
 購読する

ホワイトペーパーの入手

ITブログ月間20万PV達成!自社オウンドメディアの運用ノウハウを無料公開しています。
 ダウンロード

記事カテゴリ

月別投稿記事

PAGE TOP