AWS データセンターとは？4つのレイヤーについて紹介

AWSデータセンターの概要

AWSのさまざまなサービスは、AWSが運用する世界各地のデータセンターから提供されます。 データセンターでは、一般に広く発信されているような情報から、個人情報、企業や国の機密情報といった高度なセキュリティを必要とする情報まで扱っており、セキュリティ対策や法規制対応には特に力を入れています。

データセンターの場所

AWSは2020年12月現在で、世界24リージョンで合計77のアベイラビリティゾーンからデータセンターのサービスを提供しています。各データセンターの具体的な住所は、セキュリティ上の理由から公開されていません。

リージョンとアベイラビリティゾーン

AWSは、世界をリージョンと呼ぶ地域に分割してサービスを提供しています。データセンターの全てのシステムはリージョン単位で完結しています。1つのリージョンで大規模障害が発生しても、別リージョンにその影響が伝播しない設計になっています。 アベイラビリティゾーンとは、リージョン内で分割されたデータセンター設備群です。リージョンと同様に、1つのアベイラビリティゾーンの障害が、別アベイラビリティゾーンにその影響が及ばない設計になっています。 リージョン内の各アベイラビリティゾーン間は高速回線で接続されており、他のアベイラビリティゾーンのデータを複製・参照するような連携システムを構築できる点が、リージョンとは異なります。

日本国内のデータセンター

日本には2つのリージョンがあります。アジアパシフィックリージョン（東京）と、アジアパシフィックリージョン（大阪：ローカル）です。 2011年にアジアパシフィックリージョン（東京）が開設された際には、日本国内に閉じた複数リージョンを使ったデータの複製保存はできませんでしたが、2018年にアジアパシフィックリージョン（大阪：ローカル）が開設されたことで、それが可能となりました。 AWSに保存するデータは、必ず日本国内で保持することを求められるような法人ユーザーであっても、それを担保しつつ、2つの異なるリージョン間でデータやアプリケーションを相互にバックアップする構成を取ることができます。

海外のデータセンター

米国には4つの、中国には2つのリージョンがそれぞれ存在します。その他の国は、いずれか1つのリージョンに属しています。 日本のユーザーも、海外リージョンのデータセンターを利用できますが、利用料金はリージョンごとに設定されているため、一律ではありません。

データセンターのセキュリティ

AWSのデータセンターセキュリティは、4つのレイヤーに分割して設計・実装されています。ここでは、各レイヤーごとに、AWSのデータセンターがどのような対策を講じているのかを、ご紹介します。

境界防御レイヤー

データセンターの敷地や、敷地内の各施設への立ち入りは、監視員、入場ゲート、監視カメラ、侵入検知器により24時間365日監視されています。 業務上、正当な理由がある者は、エリア・アクセスマネージャーを含む、特別に任命された人物に申請を行い、許可された場合にのみ立ち入りが許可されます。必要な業務が完了した時点で、アクセス権は消滅します。

インフラストラクチャー・レイヤー

データセンター建屋、電源装置、空調設備、消火装置などは、顧客データを預かるサーバー群を保護しています。水道・電気・ネットワークは冗長化され、各装置・設備は日常の保守点検によって、データセンターの無停止運転を担保しています。

データレイヤー

セキュリティ上、最も重要なポイントであるユーザーデータへのアクセスに関しては、特に厳重に監視・管理されています。 管理者権限といった特権は常時はく奪されており、業務上必要な時にのみアクセス申請を行い、承認された者だけが多要素認証を経てユーザーデータにアクセスすることができます。業務完了後、アクセスの必要が無くなると、再びアクセス権ははく奪されます。 ユーザーデータを記録するストレージデバイスは、設置から破棄までのライフサイクルを通じて、厳密な基準に基づいて取り扱われます。

環境レイヤー

AWSは、自然災害のリスクを低減するために、データセンターの設置場所を慎重に選択しています。また、火災や漏水の対策として、自動センサーと応答装置により損害の防止を図っています。

データセンターへのアクセス

AWSのデータセンターとの通信は全て暗号化されますが、VPNや専用線サービスも提供されています。 SSL/TLSによる暗号化通信も、技術的には悪意のある者からのネットワーク盗聴を阻止できますが、法人ユーザーなどが、パブリッククラウドと社内システムとの接続に専用線を必須とするポリシーを持つ場合や、安定した帯域を必要とする場合には、専用線接続が使えます。

VPN（AWS VPN）

オンプレミス環境とAWSデータセンター内に構築した環境を接続し、ハイブリッド構成を組みたい場合などに、VPNを利用したネットワーク接続が可能です。 AWS VPNでは、クライアントとサーバー間など、エンドツーエンド接続をVPNで接続するAWS Client VPNと、ネットワークセグメント間をVPNで接続するAWS サイト間 VPNの2つの接続方法を提供しています。

専用線（AWS Direct Connect）

VPNでは、インターネット混雑時に通信速度が低下することがあります。より安定した通信速度を確保したい場合、AWS Direct Connectによる専用線サービスを利用し、データセンターへのアクセス環境を構築できます。

コンプライアンス対応

個人情報、企業や国の機密情報を、他社が提供するサービスを使って保存する場合、その企業や国が影響を受ける法規制に準拠することが求められます。 例えば、日本の金融機関であれば、FISC（金融情報システムセンター）のガイドラインに沿って運用するサービスであることが求められます。 ここでは、多くの法人ユーザーが影響を受ける日本の個人情報の保護に関する法律（以下、個人情報保護法）と、欧州連合（EU）の一般データ保護規則（以下、GDPR）への対応を例にとって、AWSデータセンターのコンプライアンス対応状況を説明します。

個人情報保護法への対応

AWSに保存するデータが、日本の個人情報保護法にあたるかの判断も含め、AWSに保存する個人情報を保護する責任は、AWSユーザー自身にあります。 AWSとしては、ユーザーが個人情報保護責任を果たすために必要な機能を実装し、第三者の監査を定期的に受けることで、それらの機能が適切に運用・提供されていることを保証しています。 つまり、AWSのデータセンターに個人情報を保存すること自体は問題ありませんが、個人情報保護法が求める運用は、AWSユーザー自身の責任で行う必要があります。

GDPRへの対応

個人情報保護法への対応と同じく、AWSとしては必要な機能を実装していますが、それを適切に使用し運用するのはAWSユーザー自身の責任です。 例えば、ある欧州の個人情報を欧州域外の国で保存してはいけない、という要件があった場合、ユーザーはAWSの機能を使ってアクセス管理やモニタリングを行い、その要件を担保するようにします。 なお、AWSユーザーの情報（アカウント、連絡先、契約内容など）を保存することに関しては、AWSはGDPRにおける「データ管理者」となります。一方で、AWSユーザーがAWSを使って個人情報を処理することに関しては、AWSはGDPRにおける「データ処理者」となります。

その他の法規制対応

ユーザー自身によってAWSのデータセンターを監査・見学することは、認められていません。 AWSのデータセンターは、第三者の独立監査人によって評価を受け、それに基づいて各種認証や証明が発行されています。 ユーザーは、AWSが公開するそれらの認証や証明を確認し、利用するAWSのサービスがユーザーの要件に合致しているかを、自ら確認する必要があります。認証や証明は、AWSの各データセンターで共通です。

まとめ

AWSは世界を24リージョンに分け、さらにそれらを77のアベイラビリティゾーンに分割し、サービスを提供しています。 異なるリージョン間、アベイラビリティゾーン間で、冗長化システム構成が可能です。 データセンターのセキュリティは、4つのレイヤー（境界防御、インフラストラクチャー、データ、環境）のそれぞれで実装されています。 データセンターへのアクセスには、通常の暗号化通信のほか、VPNや専用線接続サービスも利用できます。 AWSのデータセンターは、様々な認証や証明を取得し、ユーザーのコンプライアンス対応を支援します。]]>