AWSの責任共有モデル

2023年4月15日 最終更新日時 : 2023年6月26日 puchi-engineer

AWSの責任共有モデル

AWS クラウドプラクティショナー 問題集Ⅰ|完全無料&徹底解説

AWS クラウドプラクティショナー 問題集Ⅰ|完全無料&徹底解説 ◆◇◆ AWS認定試験実践トレーニング ◆◇◆ 全世界で1000万人以上が利用するオンライン学習サービスのWhizl…

演習で学ぶネットワーク

 AWSの責任共有モデルは、AWSとその顧客との間で、AWSが提供する各種クラウドサービスに関連する責任を分担する方法を説明するものです。

 このモデルでは、AWSと顧客は、それぞれの役割と責任があります。AWSは、インフラストラクチャーサービス、プラットフォームサービス、およびソフトウェアサービスのセキュリティに責任を負います。一方、顧客は、AWSが提供するサービスを使用して構築するアプリケーションやデータのセキュリティに責任を負います。

 AWSは、物理的なセキュリティ、ネットワークセキュリティ、ホスティング環境のセキュリティ、およびプラットフォーム自体のセキュリティを担当しています。また、AWSは、DDoS攻撃の防止、マルウェアやウイルスの検出と防止、およびその他の脅威から保護するために、セキュリティインフラストラクチャーを実装しています。

 一方、顧客は、AWSが提供するサービスを使用して構築するアプリケーションやデータのセキュリティに責任を負います。これには、アプリケーションの設定、アクセス管理、データの暗号化、およびその他のセキュリティ対策が含まれます。

 この責任共有モデルに基づいて、AWSは、多層的なセキュリティコントロールを実装し、サービスのセキュリティに取り組んでいます。同時に、顧客は、AWSの提供するセキュリティ機能を活用して、自分たちが開発するアプリケーションやデータのセキュリティを担当することが求められます。

AWSの責任共有モデルは、セキュリティに関する明確な役割分担を提供することにより、顧客がAWSクラウド上でのビジネスを安心して実行できるようにしています。

 具体的には、AWSは、物理的なセキュリティ、ネットワークセキュリティ、ホスティング環境のセキュリティ、およびプラットフォーム自体のセキュリティに責任を負います。AWSは、各サービスにおいて、デフォルトで有効になっているセキュリティ機能を提供しており、また、より高度なセキュリティ機能も提供しています。例えば、Amazon S3では、データの暗号化、アクセスコントロール、およびバージョニングといったセキュリティ機能が提供されています。

 一方、顧客は、AWSが提供するサービスを使用して構築するアプリケーションやデータのセキュリティに責任を負います。顧客は、AWSが提供するセキュリティ機能を活用して、自分たちが開発するアプリケーションやデータのセキュリティを担当することが求められます。これには、アプリケーションの設定、アクセス管理、データの暗号化、およびその他のセキュリティ対策が含まれます。

AWSの責任共有モデルには、3つの異なるモデルがあります。それらは、以下のとおりです。

  1. AWSが提供するサービスに対する顧客の責任共有モデル
  2. AWSが提供するコントロールとサービスに対する顧客の責任共有モデル
  3. AWSが提供するインフラストラクチャーとコントロールに対する顧客の責任共有モデル

 各モデルにおいて、AWSと顧客の責任が異なるため、詳細についてはAWSの公式ドキュメントを確認することが重要です。

責任共有モデルの構成図

以下は、AWSの責任共有モデルの構成図です。

 この構成図には、AWSが責任を負うセキュリティ領域と顧客が責任を負うセキュリティ領域が示されています。AWSが責任を負うセキュリティ領域には、物理セキュリティ、ホストセキュリティ、ネットワークとファイアウォール設定、AWSサービスの設定とセキュリティが含まれます。一方、顧客が責任を負うセキュリティ領域には、顧客データ、アプリケーションの設定、アクセス管理と監視、セキュリティグループとネットワークACL、オペレーティングシステムおよびネットワーク設定、ファイアウォールおよびセキュリティツール、コンプライアンス認証が含まれます。AWSと顧客は、共同で責任を負うセキュリティ領域もあります。

 AWSの責任共有モデルは、AWSが提供するクラウドサービスのセキュリティ責任を明確化するために作成されました。顧客は、AWSの責任共有モデルを理解して、自社のセキュリティ要件に応じた適切なセキュリティ対策を実施することが重要です。

クラウド本体のセキュリティ

 AWSは、クラウドインフラストラクチャの物理的セキュリティ、ネットワークセキュリティ、およびシステムセキュリティを確保するために、多数のセキュリティコントロールを実施しています。以下は、AWSの主要なセキュリティコントロールについての詳細です。

  1. 物理セキュリティ:AWSのデータセンターは、24時間365日警備員が常駐し、厳重なアクセスコントロール、監視、警報システムを備えています。また、データセンターに入室するためには、IDカードと生体認証による2段階認証が必要です。さらに、データセンターには、防火壁、スプリンクラーシステム、煙感知システムが設置されています。
  2. ネットワークセキュリティ:AWSは、VPC(Virtual Private Cloud)と呼ばれる専用の仮想ネットワークを提供しています。VPCは、複数のセキュリティグループやネットワークACL(Access Control List)などのコントロールを備えており、顧客は、VPC内のネットワークトラフィックを完全に制御することができます。また、AWSは、DDoS攻撃に対する保護機能を提供しています。
  3. システムセキュリティ:AWSは、EC2(Elastic Compute Cloud)と呼ばれる仮想マシンを提供しています。EC2は、顧客がアクセスできる部分に関する完全な制御を提供し、顧客は、オペレーティングシステム、アプリケーション、ミドルウェアの設定を管理できます。AWSは、EC2インスタンスにおいて自動的に脆弱性スキャンを実行し、セキュリティの脅威を特定し、自動修正機能を提供します。
  4. セキュリティ認証:AWSは、多数のセキュリティ認証を取得しています。例えば、ISO 27001、SOC1 / SOC2 / SOC3、PCI DSSレベル1などが含まれます。また、AWSは、コンプライアンス要件を満たすために、監査、リスク評価、セキュリティ監視などのサービスを提供しています。

 以上のように、AWSは、顧客のデータセキュリティを確保するために、物理的、ネットワーク、およびシステムレベルで多数のセキュリティコントロールを実施しています。AWSは、顧客がAWSクラウド上でセキュアにアプリケーションを実行できるように、多数のセキュリティ機能を提供しています。以下は、AWSの主要なセキュリティ機能についての詳細です。

  1. IAM(Identity and Access Management):AWSは、IAMを使用して、顧客がAWSサービスへのアクセスを管理できるようにしています。IAMを使用すると、顧客は、アクセス権限の設定、ユーザー、グループ、およびロールの作成、およびマルチファクタ認証(MFA)の強制などを行うことができます。
  2. KMS(Key Management Service):KMSは、AWSでのデータ暗号化を簡素化するためのサービスです。KMSを使用すると、顧客は、AWSサービスで使用する暗号鍵の作成、管理、および保護を簡単に行うことができます。
  3. S3(Simple Storage Service):S3は、AWSのオブジェクトストレージサービスです。S3は、データのセキュリティを確保するための多数のセキュリティ機能を提供しています。例えば、S3は、データの暗号化、アクセス制御、アクセスログの有効化などをサポートしています。
  4. CloudTrail:CloudTrailは、AWSでのアカウント活動を監視し、ログを記録するためのサービスです。CloudTrailは、アカウントのセキュリティ分析、コンプライアンスレポートの作成、およびトラブルシューティングをサポートするために使用されます。
  5. WAF(Web Application Firewall):WAFは、AWSのアプリケーションレベルファイアウォールです。WAFは、アプリケーションの脆弱性を検出し、攻撃を防止するための多数の機能を提供しています。

 以上のように、AWSは、顧客のデータセキュリティを確保するための多数のセキュリティコントロールと機能を提供しています。

クラウド内のセキュリティ

 AWSクラウド内のセキュリティは、物理的、ネットワーク、およびシステムレベルで多数のセキュリティコントロールを実施しています。以下は、AWSクラウド内の主要なセキュリティコントロールについての詳細です。

  1. ファシリティセキュリティ:AWSは、世界中の多数の地域にあるデータセンターを保有しています。AWSのデータセンターは、物理的にセキュアであり、24時間監視されています。また、入口にはセキュリティゲートがあり、身元を確認された人しか入場できません。さらに、データセンター内には多数のセキュリティカメラが設置され、データセンター内の活動を監視しています。
  2. ネットワークセキュリティ:AWSは、仮想プライベートクラウド(VPC)を使用して、顧客のアプリケーションをセキュアに実行できるようにしています。VPCは、顧客のアプリケーションが実行される仮想ネットワークであり、アプリケーション間のトラフィックを制御することができます。AWSは、VPCに対して多数のセキュリティコントロールを提供しています。例えば、VPCのセキュリティグループを使用することで、顧客は、VPC内のネットワークトラフィックを制御できます。また、AWSは、DDoS攻撃からアプリケーションを保護するための多数のネットワークセキュリティ機能を提供しています。
  3. システムセキュリティ:AWSは、EC2(Elastic Compute Cloud)などの多数のサービスを提供しています。これらのサービスは、仮想マシン(インスタンス)で実行されます。AWSは、これらの仮想マシンのセキュリティを確保するために、多数のセキュリティコントロールを提供しています。例えば、顧客は、EC2インスタンスに対してセキュリティグループを設定することができます。これにより、顧客は、EC2インスタンスへのアクセスを制御できます。また、AWSは、EC2インスタンスのセキュリティパッチを自動的に適用することができます。
  4. データセキュリティ:AWSは、データのセキュリティを確保するために、多数のセキュリティコントロールを提供しています。例えば、S3(Simple Storage Service)は、データを保存するためのサービスであり、AWSは、S3に対して多数のセキュリティコントロールを提供しています。顧客は、S3バケットに対してアクセス許可を制御することができ、暗号化やアクセスログの有効化などのセキュリティ機能を利用することができます。また、AWSは、KMS(Key Management Service)などの暗号化サービスを提供しており、顧客は、自分たちのデータを暗号化することができます。
  5. アプリケーションセキュリティ:AWSは、多数のアプリケーションサービスを提供しており、これらのアプリケーションは、セキュリティを確保するために多数のセキュリティコントロールを提供しています。例えば、AWS Lambdaは、サーバーレスアプリケーションを実行するためのサービスであり、AWSは、Lambdaに対して多数のセキュリティコントロールを提供しています。Lambdaには、IAMロールによるアクセス許可制御、暗号化、VPCサポートなどのセキュリティ機能があります。

 以上が、AWSクラウド内の主要なセキュリティコントロールです。これらのセキュリティコントロールにより、AWSは、顧客のアプリケーションのセキュリティを確保しています。また、AWSは、セキュリティに関する情報を公開しており、顧客は、AWSのセキュリティに関する情報を参照することができます。

カテゴリー
AWS入門
前の記事
AWS Well-Architectedフレームワーク
2023年4月15日
次の記事
AWSクラウドのセキュリティ
2023年4月15日