ブログTOP > IT・技術関連 > AWSの責任共有モデルとは？責任範囲について具体例を挙げて解説

AWSの責任共有モデルとは？責任範囲について具体例を挙げて解説

IT・技術関連更新日：2024.06.24

エンジニア採用

AWSの責任共有モデルとは

AWSの責任共有モデルとは、AWSで提供されるシステムにおいて、AWSが責任を持つ部分とサービスを利用する顧客が責任を持つ部分を明確に分ける考え方です。

AWSの責任共有モデルでは、AWSが責任を負う範囲はハードウェア、ソフトウェア、ネットワーク関連とAWSクラウドのサービスを実行している施設とされます。

顧客が責任を負うセキュリティエリアは、AWSクラウドのサービスによって異なります。

責任共有モデルにおけるAWS側の責任範囲：具体例3つ

責任共有モデルにおいて、AWS側の責任範囲は、AWSサービスのベースとなるインフラストラクチャー部分です。

AWSは、サービスで利用されるデータの内容に関わらないインフラストラクチャ―を提供して、インフラの部分の品質を保証します。

AWSでインフラストラクチャーのどこまでが保証されるかについてご紹介します。

1：物理的な保護

AWSの責任共有モデルでは、インフラストラクチャーを実装している施設について責任を持ちます。

AWSの設備が置かれているデータセンターは、異常気象や洪水、地震などの自然災害からの環境リスクの影響を受けにくい場所が選ばれています。

万が一、データセンターが稼働不能な事態に陥った場合には、独立した別の地域で処理を継続することができるようになっています。

また、外部からの物理的な攻撃を阻止するために、AWSのデータセンターはさまざまな保安設備や要員などのセキュリティで保護されています。

2：インフラストラクチャーの管理

責任共有モデルでは、AWSはサービスを構成するインフラストラクチャーの管理にも責任を持っています。

インフラストラクチャーを維持するため、データセンターはさまざまな対策で守られています。

電力システムは24時間年中無休の稼動を前提として、完全に冗長化され、さらにバックアップ電源も用意されています。

ハードウェアの問題ない稼働を保障するため、空調も万全に考慮されており、管理のためのシステムとそれをバックアップする作業員が、常に監視しています。

3：ホストOS

AWSの責任共有モデルでは、ホストOSへの不正アクセスが行われないセキュリティレベルを保障しています。

ホストOSへのアクセスについては、多要素認証に基づくAWS管理者の拠点ホストから個別のログインで行われており、外部からの侵入がかなり難しい仕様になっています。

作業完了後は、その都度システムへの付与特権とアクセス権が削除され、全てのアクセスのログは保管されます。

責任共有モデルにおけるユーザー側の責任範囲：具体例5つ

AWSの責任共有モデルでは、AWSが提供しているサービス以外の部分はユーザー側で責任を取ることになります。

ユーザー側が責任を持つ範囲については、選択したAWSクラウドのサービスによって変わってきます。

ここでは、個々のサービスによって変わるユーザー側の責任範囲についてご紹介します。

1：ゲストOS

AWSの責任共有モデルで、IaaSのようなホスティングサービスの場合は、ゲストOSの管理・運用もユーザー側の責任になります。

Amazon EC2 インスタンスを導入すると、ゲストOSの更新やセキュリティパッチの適用などの管理や、インストールしたアプリケーションなどの管理、ファイアウォールの構成の責任を負うことになります。

2：ネットワーク設定

AWSの責任共有モデルでは、オンプレミスのサービスについては、ユーザー側がネットワークの設定に責任を持ちます。

Amazon Elastic Compute Cloud (Amazon EC2) などのサービスはIaaSであり、ネットワーク設定を含む必要なセキュリティ構成と管理をユーザー側で行わなければなりません。

3：アプリケーション

AWSの責任共有モデルでは、オンプレミスサービスについては、ユーザー側がインストールしたアプリケーションの責任も担います。

IaaSであるAmazon EC2などの場合、ユーザーがインスタンスに入れたアプリケーションについては、ユーザー側で管理・運用しなければなりません。

4：データの暗号化

AWSの責任共有モデルでは、データの暗号化についてはユーザーの責任範囲になります。

Amazon EC2などのIaaSでもほかのサービスでも、サービスの中で扱うデータについては、暗号化なども含めてデータの管理は利用者の責任で行う必要があります。

データはユーザー固有の資産であり、ユーザー以外がその管理方法を決めることはできません。

5：アクセス権限の管理

AWSの責任共有モデルでは、IDやデータなどへのアクセス権限の管理もユーザーの責任範囲です。

データの暗号化と同様に、サービスを利用するユーザーのIDやそれに関連するアプリケーションやシステム、ユーザーデータへのアクセス権の管理・運用も、ユーザーが責任をもって行わなければなりません。

利用サービスによっても責任範囲は異なる

AWSではさまざまなサービスが提供されていますが、利用するサービスによって責任共有モデルにおけるAWSとユーザーの責任範囲は異なります。

AWSの責任範囲は、基本的にインフラストラクチャー部分ですが、Amazon EC2などのIaaSサービスでは、IaaS上で動かすアプリケーションやシステムのほとんどのセキュリティ構成・管理をユーザー側で行う必要があります。

Amazon S3やAmazon DynamoDB などの機能が限定されたサービスでは、ユーザーはデータへの利用権限も含めたアクセス権の管理・適用について責任を負います。

クラウド内はユーザーに丸投げではない

AWSはクラウドサービスですが、クラウド内のすべてのサービスにユーザーが責任を持たなければならないわけではありません。

AWSの責任共有モデルでは、Amazon EC2のようなIaaSではインフラストラクチャー以外のすべてをユーザーが管理しなければなりません。

しかしマネージドサービスを利用すると、OSやミドルウェアがAWSのサービスの範囲として提供され、ユーザーの管理・運用の負荷を減らすことができます。

AWSに用意されているセキュリティ対策機能・サービス3選

AWSのようなクラウドサービスを利用するときに考慮しなければならないのは、自社の情報を預けるに当たり、十分なセキュリティ対策がとられているかどうかです。

AWSでは、十分なセキュリティ対策を施したインフラストラクチャーを用意することで、ユーザーが自分たちのリソースを割くことなく、ビジネスの安全性を確保できるようにサポートしてくれます。

ここからは、主なセキュリティ対策機能やサービスを3つ紹介します。

1：セキュリティグループ

Amazon EC2では、AWS標準のファイアウォール機能であるセキュリティグループが提供されています。

セキュリティグループは、EC2におけるアクセス権やトラフィックを管理することのできるセキュリティサービスです。

セキュリティグループを使用することにより、AWSのセキュリティ権限管理を複雑な設定不要で確保できます。

2：AWS Shield

AWS Shieldは、AWSで実行しているアプリケーションを分散サービス妨害から保護するサービスです。

AWSを使用しているユーザーには、追加のコストなしで、自動的にAWS ShieldによるDDoS保護が実装されます。

AWS Shieldを利用することで、インフラストラクチャをターゲットとする外部からの不正アクセスや攻撃を防止することができます。

3：AWS WAF

AWS WAFは、ウェブの脆弱性をつく攻撃やボットから、アプリケーションおよびAPI保護するためのファイアウォールです。

AWS WAFは、ファイアウォールとして、既に定義済みのセキュリティルールを使用することですぐに使い始めることができます。また、カスタマイズすることでより高度のセキュリティを構築することも可能です。

AWS WAFは使用した分だけコストを負担すればよく、支払い額はデプロイするルールやリクエスト数によって決まってきます。

AWSの責任共有モデルを理解しよう

AWSのようなクラウドサービスでは、責任範囲を明確にしないと、AWS事業者とユーザーの間の理解違いによるトラブルが発生する可能性があります。

責任共有モデルの設定により責任範囲を明確にし、ユーザーの管理するデータやアプリケーションについてユーザーに責任を持ってもらうことで、クラウドサービスの根幹であるインフラストラクチャーの品質向上に繋がります。

AWSの責任共有モデルを理解し、ユーザー自身の責任範囲を明確にすることで、AWSのメリットを活かしていきましょう。

この記事の監修者・著者

株式会社オープンアップITエンジニアAWSパートナー/Salesforce認定コンサルティングパートナー認定企業

ITエンジニア派遣サービス事業を行っています。AWSやSalesforceなど専門領域に特化したITエンジニアが4,715名在籍し、常時100名以上のITエンジニアの即日派遣が可能です。

・2021年：AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
・2022年3月：人材サービス型 AWSパートナー認定
・AWS認定資格保有者数1,154名（2024年6月現在）
・Salesforce認定コンサルティングパートナー
・Salesforce認定資格者276名在籍（2024年5月現在）
・LPIC＋CCNA 認定資格者：472 名（2024年6月時点）