この記事の目次
クラウドサービス全般のセキュリティについて
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/f5ef944a50653ad198392450d8cdba1dea4885cc/87a2e1f3-0fdc-4110-8476-dbf1920c6d4e.png)
IaaSではクラウド事業者がインフラの管理のみを行う
IaaSでは、クラウド事業者がハードウェアやネットワークなどインフラにのみセキュリティの責任を負います。 ハードウェアやネットワークなどのインフラ環境のみを借りて、その上に自由にシステム構築できるのが魅力ですが、OSやミドルウェアに対するセキュリティの責任は基本的にユーザー側が負うことになります。PaaSではクラウド事業者がインフラに加えてOSやミドルウェアの管理も行う
PaaSでは、クラウド事業者がインフラに加えて、OSやミドルウェアのセキュリティに対しても責任を負います。 OSやミドルウェアが限定されるため、IaaSに比べると選択の幅は狭いですが、OSやミドルウェアの管理を気にせずに、構築したシステムのセキュリティのみに注力していれば良いので、比較的軽い負担でシステムの構築・運用ができるのが魅力です。SaaSはクラウド事業者の責任領域が広い
SaaSでは、クラウド事業者がほぼすべての領域で、セキュリティに責任を負います。具体例としては、「Salsforce」や「G Suite」、「GMail」などがこれに分類されます。 基本的にユーザーは提供されるサービスを利用するだけですので、セキュリティに対してほとんど意識する必要がありません。AWSではユーザーとの責任の境界をどのように考えているか
AWSでは、ユーザーとの責任分担をどのように考えているかというのが、この記事の本題である「責任共有モデル」です。 クラウド事業者とユーザーの概要は前述の通りですが、詳細な責任分担はサービスごとに違っています。AWSの責任共有モデルの基本的な考え方や、AWS側とユーザー側がそれぞれ負う責任については、以降の項目で詳しく説明していきます。AWSの責任共有モデルとは何か
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/9e08934fd24485c7d9e691a312f16a4ef7ff96eb/38bb5729-e3a0-4b63-804c-feb8204f9752.jpg)
AWSの責任共有モデルでAWS側が負う責任
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/9e08934fd24485c7d9e691a312f16a4ef7ff96eb/558130be-c106-47de-a1f2-06db421e15bb.jpg)
データセンターの物理的なセキュリティ
物理的なセキュリティの要点は犯罪への対策と災害への対策の2点です。AWSでは、これら2点に責任を負うために以下のような対策をとっています。 犯罪、つまりデータの盗難や改ざん、破壊を防止するための対策としては、データセンターの場所の秘匿と、厳重な警備が挙げられます。また職員の立ち入りも厳しく制限し、なおかつすべてのアクセスは記録されます。 災害への対策としては、地震や洪水などを考慮した立地の選定や、電源やネットワークの冗長化などの対策がなされています。ネットワークセキュリティ
AWSのネットワークセキュリティは、以下のような機能が提供されています。- DDoS攻撃への対策
- バケツリレー攻撃とも呼ばれる中間者攻撃への対策
- IPなりすましへの対策
- 許可されないポートスキャニング対策(利用規約に抵触する行為なので、停止・ブロックの対象)
- パケットの盗聴対策
論理的なセキュリティ
AWSの論理的なセキュリティは、以下のようにAWS管理者とユーザーのアクセスを切り分けることで実現されています。 AWSのホストOSは、特別に設計、構築、設定されたもので、承認を受けたAWS管理者は各拠点のホストから個別にログインします。認証は多要素認証を利用し、全てのアクセスは記録され監査されます。なお、作業が完了する度にシステムへの特権やアクセス権は削除されます。 なお、ホストOSはユーザーが使用するゲストOS(EC2インスタンスなど)とは完全に切り離されています。AWSの責任共有モデルでユーザー側が負う責任
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/5e9e289364bb3ddfa01b2e7a2998e19f5b1eaf36/065316f3-57ed-4e3d-9ee4-7d5f7ba7eedf.jpg)
ユーザーの責任に対するAWS側の支援
AWSの責任共有モデルでの責任の分担は以上の通りですが、AWS側がユーザー側の責任に対して何の支援もしないということではありません。 AWSにはセキュリティーに関する豊富なサービスや機能が存在し、脆弱性に関する情報も迅速に公開されます。開発者ガイドなど各種資料(ホワイトペーパー)も充実しているので、必要な知識を入手することもできます。 より手厚い支援が必要な場合は、有償の技術支援やコンサルティングサービス、トレーニングサービスを受けることもできます。AWSの責任共有モデルはセキュリティ以外にも適用される
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/9e08934fd24485c7d9e691a312f16a4ef7ff96eb/92e5f7e9-db15-40b0-a27f-8f192f3215b1.jpg)
予算の見積もりと確保
AWSの責任共有モデルを予算の見積もりと確保に当てはめると、クラウドのコストメリットである従量課金が徹底できます。 AWS側は日次でも管理できる従量課金の仕組みを提供し、ユーザー側が主体的に料金の実績値管理を行います。また、AWS側はユーザーの予算管理を助けるためのツール(AWS Cost Explorer)も提供します。 ユーザー側が積極的に予算管理を行い、精度の高い従量課金を実現してコストダウンを図ることができるのが、この考え方の魅力と言えるでしょう。調達・購買の実施
AWSの責任共有モデルを調達・購買の実施に当てはめると、システムインテグレーター(SI)任せだったシステム要件定義を本来あるべき形で分担して、より効率的な調達・購買が実現できます。 これはインフラに責任を負うAWSとシステム開発、運用(場合によってはプラッタフォーム)に責任を負うシステムインテグレーターでは求めるべきことが異なるので、それぞれ独立した要件を求めるべきであるという考え方です。]]>この記事の監修者・著者
![株式会社オープンアップITエンジニア](https://tenshoku-careerchange.jp/wp-content/uploads/2023/07/fzxADbr-_400x400-1-150x150.jpg)
-
未経験からITエンジニアへのキャリアチェンジを支援するサイト「キャリアチェンジアカデミー」を運営。これまで4500人以上のITエンジニアを未経験から育成・排出してきました。
・AWS、salesforce、LPICの合計認定資格取得件数:2100以上(2023年6月時点)
・AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
最新の投稿
- 2024年3月26日キャリア・転職保安職(自衛官・警察・消防官など)に向いている人の性格・特徴ランキング【現役保安職(自衛官・警察・消防官など)36人が回答】
- 2024年3月26日キャリア・転職保安職(自衛官・警察・消防官など)に必要なスキルランキング&スキルアップの方法とは?【現役保安職(自衛官・警察・消防官など)36人が回答】
- 2024年3月26日キャリア・転職クリエイター職(ライター・デザイナー・編集)に向いている人の性格・特徴ランキング【現役クリエイター職(ライター・デザイナー・編集)64人が回答】
- 2024年3月26日キャリア・転職クリエイター職(ライター・デザイナー・編集)に必要なスキルランキング&スキルアップの方法とは?【現役クリエイター職(ライター・デザイナー・編集)64人が回答】