概要
クラウドサービスを利用する上でセキュリティは大きなポイントとなります。
AWSを利用する場合であれば、機器の不具合やセキュリティ上の問題に対し、どこまでをAWS側で担保してくれて、どこからは利用者側で担保しなければならないのでしょうか?
その点について、AWSでは「責任共有モデル」という考え方を採用しています。
AWSを導入する際には、この概念を正しく理解しておく必要があります。
AWSの責任共有モデルとは?
責任共有モデルを分かりやすく説明すると、AWS側と利用者側の双方で役割を分けて、全体のセキュリティを担保しようという考え方です。
具体的には以下のような図で表されています。
従来は利用者(サーバ管理者)が行っていたハードウェアの保守やセキュリティ。
そうした物理的なインフラや仮想環境を動かすハイパーバイザーに対してのセキュリティはAWS側が確保します。
一方、利用者側はOSから上のレイヤーに対してのセキュリティを確保しなければなりません。
具体的には…
- OSやミドルウェアの脆弱性対応
- 適切なネットワーク設定
- アプリケーション
- データの暗号化
といった範囲で責任を持つ必要があります。
そのため、環境構築時にこれらをしっかりと考慮する必要があり、構築後も定期的なセキュリティアップデート等の保守は欠かせません。
フルマネージドサービスとは?
少し本題から逸れますが、AWSにはフルマネージドサービスという分類にあたるサービス群があります。
例えば、S3やDynamoDB、Lambdaなどが該当し、それ以外にも様々なサービスが提供されています。
これらのサービスは、OSやミドルウェアをAWS側で管理しており、SaaSのように利用できます。
そのため、利用者側のセキュリティに対する責任の範囲が通常より狭く、よりアプリケーションに集中することができます。
サービスによっては自前で構築するより費用が割高になるデメリットはありますが、昨今のサイバー攻撃や個人情報事情を考慮し、フルマネージドサービスを利用してリスクを低減させるのも一つの手段です。
おわりに
AWSを利用すれば万事解決というわけではなく、利用者側に責任が及ぶ範囲をしっかりと認識し対策を施さないと、システム全体のセキュリティを確保することはできません。
とはいえ、AWSの「責任共有モデル」が物理的なセキュリティ面を担保してくれるメリットは非常に大きく、AWSが便利で強力なサービスということには変わりません。
利用する恩恵を享受しつつ、正しく理解した上でAWSを活用していきましょう。
