AWSを利用する上で知っておきたい「責任共有モデル」とは?

概要

クラウドを利用する上でセキュリティは大きなポイントとなります。

AWS を利用する場合、どこまでをAWS側で担保してくれて、どこからは利用者側で担保しなければならないのでしょうか?
その点について、AWSでは「責任共有モデル」という考え方を採用しています。

導入する際には、この概念を正しく理解しておく必要があります。

責任共有モデルとは?

一言で説明すると、AWS側と利用者側の双方で役割を分けて、全体のセキュリティを担保しようという考え方です。
具体的には以下のような図で表されています。


https://aws.amazon.com/jp/compliance/shared-responsibility-model/

AWS側では、物理的なインフラや、仮想環境を動かすハイパーバイザーに対してセキュリティを確保します。

一方、利用者側では、OSから上のレイヤーに対してセキュリティを確保しなければなりません。
具体的には、
・OSやミドルウェアの脆弱性対応
・適切なネットワーク設定
・アプリケーション
・データの暗号化
などといった範囲で責任を持つ必要があります。
そのため、構築時にはこれらをしっかりと考慮する必要があり、構築後もセキュリティアップデート等の保守は欠かせません。

フルマネージドサービスとは?

少し本題からは逸れますが、AWSにはフルマネージドサービスという分類にあたるサービス群があります。
例えば、S3やDynamoDB、Lambdaなどが該当し、それ以外にも様々なサービスが提供されています。

これらのサービスは、OSやミドルウェアはAWS側で管理しており、SaaSのように利用できます。そのため、利用者側の責任の範囲が通常より狭く、よりアプリケーションに集中することができます。

サービスによっては自前で構築するより費用が割高になりますが、これらを利用してリスクを低減させるのも一つの手段です。

おわりに

AWSを利用すれば万事解決というわけではなく、利用者側でも責任が及ぶ範囲はしっかり対策を施さないと、システム全体のセキュリティを確保することはできません。

とはいえ、物理的な面を担保してくれるメリットは大きく、AWSが強力なサービスということには変わりません。
AWSを利用する恩恵を享受しつつ、正しく理解した上で利用していきたいですね。

APN Consulting Partner
スーパーソフトウエアはAWSパートナーネットワーク(APN)のコンサルティングパートナーです。