AWSの責任共有モデルを解説！クラウド全般でのセキュリティの考え方

クラウドサービス全般のセキュリティについて

ここでは、AWSを含むクラウドサービスの分類や、それぞれの概要、クラウド事業者のセキュリティに対する責任領域の違いについて説明します。 クラウドサービスは、IaaS（Infrastracture as a Service）、PaaS（Platform as a Service）、SaaS（Soft as a Service）の3つに分類でき、それによってセキュリティに対する責任の範囲も異なります。 なお、AWSが提供するサービスを上記の分類に当てはめると、「Amazon EC2」がIaaSに、「Amazon RDS」がPaaSに分類されます。SaaSに該当するサービスはありませんが、「Amazon S3」がそれに近いサービスと言えるでしょう。

IaaSではクラウド事業者がインフラの管理のみを行う

IaaSでは、クラウド事業者がハードウェアやネットワークなどインフラにのみセキュリティの責任を負います。 ハードウェアやネットワークなどのインフラ環境のみを借りて、その上に自由にシステム構築できるのが魅力ですが、OSやミドルウェアに対するセキュリティの責任は基本的にユーザー側が負うことになります。

PaaSではクラウド事業者がインフラに加えてOSやミドルウェアの管理も行う

PaaSでは、クラウド事業者がインフラに加えて、OSやミドルウェアのセキュリティに対しても責任を負います。 OSやミドルウェアが限定されるため、IaaSに比べると選択の幅は狭いですが、OSやミドルウェアの管理を気にせずに、構築したシステムのセキュリティのみに注力していれば良いので、比較的軽い負担でシステムの構築・運用ができるのが魅力です。

SaaSはクラウド事業者の責任領域が広い

SaaSでは、クラウド事業者がほぼすべての領域で、セキュリティに責任を負います。具体例としては、「Salsforce」や「G Suite」、「GMail」などがこれに分類されます。 基本的にユーザーは提供されるサービスを利用するだけですので、セキュリティに対してほとんど意識する必要がありません。

AWSではユーザーとの責任の境界をどのように考えているか

AWSでは、ユーザーとの責任分担をどのように考えているかというのが、この記事の本題である「責任共有モデル」です。 クラウド事業者とユーザーの概要は前述の通りですが、詳細な責任分担はサービスごとに違っています。AWSの責任共有モデルの基本的な考え方や、AWS側とユーザー側がそれぞれ負う責任については、以降の項目で詳しく説明していきます。

AWSの責任共有モデルとは何か

AWSの責任共有モデルとは、AWS側とユーザーの両者が責任を共有して、セキュリティを確保するモデルです。AWS側とユーザーの間での責任の分担は以下の通りです。 AWS側は、ハードウェアやソフトウェア、データセンター（施設）といったインフラ、つまりクラウドサービスそのもののセキュリティに責任を負います。 ユーザー側は、インフラの上に存在する資産、つまりクラウドサービス上に配置された、アプリケーションやデータに対するセキュリティに責任を負います。 上記の責任の違いは、AWS側の責任を「クラウドのセキュリティ（Security of the Cloud）」、ユーザー側の責任を「クラウドにおけるセキュリティ（Security in the cloud）」と表現します。

AWSの責任共有モデルでAWS側が負う責任

AWSの責任共有モデルでは、データセンターの物理的なセキュリティ、ネットワークセキュリティおよび論理的なハードウェアやソフトウェアのセキュリティについてAWS側が責任を負います。

データセンターの物理的なセキュリティ

物理的なセキュリティの要点は犯罪への対策と災害への対策の2点です。AWSでは、これら2点に責任を負うために以下のような対策をとっています。 犯罪、つまりデータの盗難や改ざん、破壊を防止するための対策としては、データセンターの場所の秘匿と、厳重な警備が挙げられます。また職員の立ち入りも厳しく制限し、なおかつすべてのアクセスは記録されます。 災害への対策としては、地震や洪水などを考慮した立地の選定や、電源やネットワークの冗長化などの対策がなされています。

ネットワークセキュリティ

AWSのネットワークセキュリティは、以下のような機能が提供されています。

• DDoS攻撃への対策
• バケツリレー攻撃とも呼ばれる中間者攻撃への対策
• IPなりすましへの対策
• 許可されないポートスキャニング対策（利用規約に抵触する行為なので、停止・ブロックの対象）
• パケットの盗聴対策

論理的なセキュリティ

AWSの論理的なセキュリティは、以下のようにAWS管理者とユーザーのアクセスを切り分けることで実現されています。 AWSのホストOSは、特別に設計、構築、設定されたもので、承認を受けたAWS管理者は各拠点のホストから個別にログインします。認証は多要素認証を利用し、全てのアクセスは記録され監査されます。なお、作業が完了する度にシステムへの特権やアクセス権は削除されます。 なお、ホストOSはユーザーが使用するゲストOS（EC2インスタンスなど）とは完全に切り離されています。

AWSの責任共有モデルでユーザー側が負う責任

AWSの責任共有モデルでユーザー側が負う責任は、前述のAWS側が負う責任以外の部分となりますが、その範囲は使用するAWSのサービスによって異なります。 たとえば、IaaSに該当するサービスである「Amazon EC2」などでは、OSの更新やセキュリティパッチの管理、各種アプリケーション、ユーティリティの管理、AWSから提供されるファイアーウォールの構成などに責任を負う必要があります。 一方、AWS側がプラットフォームの運用も行う、「Amazon S3」や「Amazon DynamoDB」などのサービスでは、ユーザーの責任はデータの管理や構築したシステムへのアクセス権限の管理などに限られます。 このようにAWSでは、選択するサービスによって、ユーザー側のセキュリティに対する責任の範囲が異なります。やりたいことや負担できるコストなどに応じて、適切なサービスを選択することが重要です。

ユーザーの責任に対するAWS側の支援

AWSの責任共有モデルでの責任の分担は以上の通りですが、AWS側がユーザー側の責任に対して何の支援もしないということではありません。 AWSにはセキュリティーに関する豊富なサービスや機能が存在し、脆弱性に関する情報も迅速に公開されます。開発者ガイドなど各種資料（ホワイトペーパー）も充実しているので、必要な知識を入手することもできます。 より手厚い支援が必要な場合は、有償の技術支援やコンサルティングサービス、トレーニングサービスを受けることもできます。

AWSの責任共有モデルはセキュリティ以外にも適用される

AWSの責任共有モデルは、セキュリティだけに適用されるものではなく、予算の見積もりと確保や調達・購買の実施などにも適用されます。 これらの要素は、クラウド以前のシステム運用とクラウド以後のシステム運用では考え方が変わってきています。 ここでは、AWSではその点をどのように整理しているのかを、予算の見積もりと確保や調達・購買の実施を例にとって説明していきます。

予算の見積もりと確保

AWSの責任共有モデルを予算の見積もりと確保に当てはめると、クラウドのコストメリットである従量課金が徹底できます。 AWS側は日次でも管理できる従量課金の仕組みを提供し、ユーザー側が主体的に料金の実績値管理を行います。また、AWS側はユーザーの予算管理を助けるためのツール（AWS Cost Explorer）も提供します。 ユーザー側が積極的に予算管理を行い、精度の高い従量課金を実現してコストダウンを図ることができるのが、この考え方の魅力と言えるでしょう。

調達・購買の実施

AWSの責任共有モデルを調達・購買の実施に当てはめると、システムインテグレーター（SI）任せだったシステム要件定義を本来あるべき形で分担して、より効率的な調達・購買が実現できます。 これはインフラに責任を負うAWSとシステム開発、運用（場合によってはプラッタフォーム）に責任を負うシステムインテグレーターでは求めるべきことが異なるので、それぞれ独立した要件を求めるべきであるという考え方です。]]>