AWS Shared Responsibility Model: What You Need to Know

AWSの「責任分担モデル」は、クラウドにおけるセキュリティおよびコンプライアンスに関して、AWSと顧客の間で責任がどのように分担されるかを定めています。AWSは、インフラストラクチャから物理的な施設に至るまで、クラウドのセキュリティ全般を管理します。一方、顧客は、クラウド上の自社のデータを保護し、特定のコンプライアンス要件を満たすための適切な措置を講じる責任を負います。このモデルにより、各顧客の固有のニーズに合わせて柔軟にセキュリティ対策を調整することが可能になります。

AWSの共同責任モデルの理解

AWSの共同責任モデルは、セキュリティおよびコンプライアンスに関する責任がAWSと顧客の間でどのように分担されるかを定めた枠組みです。企業がこのモデルを理解することは重要です。なぜなら、このモデルによって、企業が実装する責任を負うセキュリティ対策と、AWSが管理するセキュリティ対策が明確になるからです。

このモデルでは、AWSはクラウド自体のセキュリティに責任を負い、顧客はクラウド内のセキュリティに責任を負います。つまり、AWSはデータセンターやネットワークなどの基盤インフラ、およびそれらのリソースへのアクセス制御の管理に責任を負います。一方、顧客は、AWS環境内における自社のアプリケーションやデータのセキュリティ確保に責任を負います。

例えば、Amazon EC2インスタンスを使用してWebアプリケーションをホストしている企業を例に挙げてみましょう。AWSは、これらのインスタンスが実行される物理サーバーのセキュリティを確保する責任を負っていますが、自社のデータを保護するためのファイアウォールやセキュリティグループの設定については、当該企業が責任を負います。

各顧客が利用する具体的なサービスに応じて、責任の分担が可能である点に留意することが重要です。AWSの責任分担モデルでは、AWS環境内でソリューションを導入する際に、どのような責任を考慮すべきかについてガイドラインが示されています。

この点をさらに詳しく説明するために、Amazon S3とAmazon EC2の両方を利用している企業を例に挙げてみましょう。AWSは両サービスの物理インフラを管理していますが、S3に保存されたデータのセキュリティ確保は主に顧客の責任であり、一方、EC2インスタンス上のデータの保護は顧客の責任となります。

一部の批評家は、どのようなセキュリティリスクが共有されているのかについて、依然として混乱があるとの見解を示しています。企業にとっては、AWSなどのプロバイダーにのみ依存することのないよう、クラウドセキュリティリスク管理において自社の責任をしっかりと果たすことが重要です。とはいえ、ベンダーが提供するベストプラクティスに従うことは、どのようなパートナーシップにおいてもリスク要因を低減する上で大いに役立ちます。

• AWSの「責任分担モデル」は、セキュリティおよびコンプライアンスに関する責任がAWSと顧客の間でどのように分担されるかを定めたものです。このモデルでは、AWSが物理インフラのセキュリティに責任を負い、顧客はAWS環境内における自身のアプリケーションおよびデータのセキュリティ確保に責任を負います。 企業がどのようなセキュリティ対策を講じるべきかを判断するためには、このモデルを理解することが重要です。ただし、ベンダーが提供するベストプラクティスに従うことでリスク要因を低減できる一方で、企業はクラウドセキュリティリスク管理において自らの責任を自覚し、AWSのようなプロバイダーにのみ依存すべきではありません。

「クラウドのセキュリティ」対「クラウドにおけるセキュリティ」

クラウドユーザーが理解しておくべき重要な概念の一つは、「クラウドのセキュリティ」と「クラウド内のセキュリティ」の違いです。前述の通り、AWSは自社のクラウドサービスの基盤となるインフラストラクチャの管理とセキュリティ確保に責任を負っています。これは物理的なインフラストラクチャのセキュリティ確保に関わるため、「クラウドのセキュリティ」と呼ばれます。

クラウドセキュリティとは、クラウド上でホストされているお客様のアプリケーションやサーバー内におけるデータ保護を指します。この責任はAWSではなく、お客様が負うものです。これには、ユーザーアクセス制御、ネットワーク設定および構成の管理、ならびに機密データの暗号化が含まれます。

クラウドのセキュリティを、物理的な物を保管するホテルの貸金庫のようなものと考えてみてください。対照的に、クラウド内のセキュリティは、ホテルの客室にいる間、侵入者から自分の持ち物を守るために必要なパスワードのようなものです。

AWSがクラウドのセキュリティに責任を負っているからといって、企業がクラウドにおけるセキュリティ上の責任を軽視してはならないという点に留意することが重要です。この責任分担モデルに基づき、AWSは、自らが提供するセキュリティ対策に加え、顧客が独自のセキュリティを確保するためのベストプラクティスやガイドラインを提供しています。

たとえば、AWSが提供するファイアウォールによって保護されているAmazon EC2インスタンスには、カスタマイズ可能なオプションを備えた厳格なデフォルト設定が適用されています。お客様は、AWSによる設定に加えて、インスタンス環境にアクセスできるユーザーを制御できるよう、自社側でこれらのファイアウォールを設定する必要があります。

批評家たちは、ベストプラクティスの文書だけに頼っていると、攻撃に対する防御が不十分になる恐れがあると指摘している。クラウドユーザーは、最新の基準に従って自身のシステムを適切に設定するとともに、パッチが利用可能になった際にシステム管理者に通知する自動パッチ適用システムなどの予防的措置を講じるよう、細心の注意を払う必要がある。

AWSの共同責任モデルの導入

AWSの「責任分担モデル」では、システムのセキュリティとコンプライアンスを確保するために、顧客とAWSの双方が関与することが求められます。AWSは物理インフラストラクチャ・スタックの管理と制御を行う一方、顧客はアプリケーションのセキュリティ確保およびアイデンティティ・アクセス管理（IAM）の運用に責任を負います。したがって、潜在的な脅威を軽減し、セキュリティを維持するためには、顧客がこのモデルを効果的に実施することが極めて重要です。

このモデルを導入する上で重要な要素の一つは、組織のデータ処理ニーズを特定し、評価することです。これには、データを把握し、各データタイプを分類し、すべてのデータを安全に処理・保管できるよう責任の所在を明確にすることなどが含まれます。機密データや規制対象のデータは、厳格なアクセス制御措置が講じられた管理された環境下で保管されなければなりません。

もう一つの重要なステップは、アクセス制御、ネットワークのセグメンテーション、ログ記録、監視、暗号化サービス、および脆弱性管理の取り組みを組み込んだ、安全なアーキテクチャ設計を選択することです。アクセス権は、IAMのベストプラクティスに基づき、個々のユーザーの役割と責任に応じてのみ付与されるべきです。導入のあらゆる段階において、全従業員を対象にサイバーセキュリティ啓発研修プログラムを実施し、高いセキュリティ水準を維持する上での各自の役割を確実に理解させる必要があります。

例えば、Amazon EC2インスタンスを使用してAWS上でアプリケーションを構築しているとします。AWSの「責任分担モデル」に基づき、Amazon EC2インスタンスの基盤となるハードウェアリソースや関連ネットワークの物理的なセキュリティおよび可用性はAWSが担当しますが、ゲストOS（更新を含む）や、これらのマシン内で適用されるファイアウォール設定の管理は、お客様の責任となります。

ユーザーアクセス制御に関するこの点をさらに強化するには、AWS Identity and Access Management（IAM）ツールを使用して、各ユーザーの業務内容に応じて権限を付与することができます。例えば、ログの閲覧やデータベースクエリに対して読み取り権限のみを許可するなどです。また、IAMではデータベースなどの他のサービスとの統合も可能であるため、ユーザーはリモート接続を行う必要がなく、代わりにプライベートネットワーク内で直接接続できるため、外部への露出ポイントを最小限に抑えることができます。

セキュリティに関して、先手を打つべきか、それとも事後対応すべきかという興味深い議論がよく持ち上がります。 前者は事前の計画立案と潜在的な脅威の予測を重視するのに対し、後者はセキュリティ侵害が発生した後に解決策を講じることを意味します。多くの議論と同様に、どちらのアプローチにも一長一短がありますが、AWSの「責任分担モデル」を実践する上では、間違いなく「プロアクティブ」なアプローチが最適です。これには、定期的な脆弱性スキャンやペネトレーションテストの実施、異常な活動を特定するためのログの定期的な確認、そして緊急時に備えて最新の災害復旧計画を常に準備しておくことなどが含まれます。

• 2020年のIDCの調査によると、IT専門家の64％が、AWSなどのクラウドサービスプロバイダーにおける「共同責任」の一環としてセキュリティを活用し、安全なクラウド環境を維持している。
• 2019年のマカフィーのレポートによると、AWSを利用している組織では、1か月あたり平均2,700件以上のセキュリティ脅威が発生していることが判明しており、保護を強化するためには「責任分担モデル」を遵守することが重要であることが浮き彫りになった。
• 2018年のガートナーのレポートによると、2025年までにクラウドセキュリティ上の不具合の99％は顧客側の責任によるものになると推定されており、共同責任モデルにおける顧客の責任を理解し、適切に管理することの重要性が浮き彫りになっている。

ユーザーアクセス制御とデータ管理の取り組み

共有モデルにおいて、顧客が大きな責任を負う分野の一つが、ユーザーアクセス制御とデータ管理の実践です。重要なデータを扱う際には、IAMのベストプラクティスの一環として、顧客の権限を定期的に監査する必要があります。そうすることで、各ユーザーが必要な範囲のみにアクセスし、それ以上の権限を持たないことを確実にすることができます。

データ管理のベストプラクティスでは、データのライフサイクル全体を通じて、データの保存、処理、送信、アクセス、および削除の方法に対して厳格な管理を実施することが求められます。機密性の高いデータを取り扱う環境では、役割ベースのアクセス制御メカニズムに加え、盗聴や中間者攻撃からデータを保護するトランスポート層セキュリティ（TLS）などの暗号化ソリューションによって、セキュリティを確保する必要があります。

インフラストラクチャ内で重要なアプリケーションの開発を担当する開発者チームがいると仮定しましょう。AWS IAMポリシーとAmazon CloudWatch Logs Insightsを組み合わせて使用することで、ユーザーのアクティビティを追跡し、誰がいつシステムのどの部分にアクセスしたかを把握することができます。このデータを活用すれば、ログイン試行に異常なパターンやエラーがないかを確認し、潜在的なセキュリティ侵害の兆候がないかを判断することができます。

さらに、さまざまなAWSサービスを統合することで、ユーザーが機密情報を組織外に漏洩することを防ぐ、安全な環境を構築できます。例えば、Amazon MacieとAWS KMSを組み合わせて暗号化キーを管理することで、S3に保存された重要なデータは書き込み時に自動的に暗号化され、読み取り時に復号化されるように設定できます。これにより、たとえバケットが誤って公開されてしまった場合でも、機密情報への不正アクセスを防ぐことができます。

ユーザーアクセス制御の管理に関しては、万能なアプローチなど存在しません。組織ごとに要件が異なるため、それぞれのユースケースに最適なソリューションを導入する必要があります。しかし、AWSの共同責任モデルを効率的に実施するためには、顧客が真摯な取り組みを行い、安全かつ業界標準に準拠した環境を維持することが求められます。

AWSの共同責任モデルのメリット

AWSの共同責任モデルは、ITインフラのセキュリティを確保しつつ、導入の柔軟性を維持したいと考える企業にとって、数多くのメリットをもたらします。その明確なメリットの一つは、このモデルにより、組織がITセキュリティに時間やリソースを費やすことなく、自社のコアコンピタンスに注力できる点です。「クラウドのセキュリティ」に関する責任をAWSに委ねることで、組織はデータやアプリケーション、その他の重要な業務機能の管理に集中することができます。

もう一つの利点は、AWSがすべての物理インフラおよびネットワークインフラを管理するため、不正アクセス、データ漏洩、サービス中断のリスクを低減できることです。AWSは、世界中に広がるデータセンターのネットワークを活用し、24時間体制で信頼性の高い高性能なホスティングサービスを提供しています。このレベルのサポートにより、企業はハードウェアのアップグレードやネットワークの導入を自社で行う必要がなく、必要に応じて容易にスケールアップやスケールダウンを行うことができます。

さらに、AWSとその顧客はデータ管理の実践について共同で管理権限を有しており、顧客は自社のコンプライアンス要件に沿った方法でデータを管理するために最適なツールや技術を選択することができます。これはまた、顧客がAWSの業界をリードするセキュリティ対策やコンプライアンス認証を活用し、規制枠組みへの準拠を実証できることを意味します。

例えば、電子カルテシステムを導入している医療機関は、Amazon RDSを利用してデータベースをホストすると同時に、HIPAAのコンプライアンス要件を満たすために保存時暗号化を実施することができます。AWSのセキュリティおよびコンプライアンス管理に関する専門知識を活用することで、同社は自社のITインフラを管理する際の多くの課題を回避しつつ、主要な規制基準を遵守することが可能になります。

もう一つのメリットは、企業がAWSのようなクラウドコンピューティングプラットフォームが提供する拡張性と俊敏性を活用できることです。オンデマンドでリソースをプロビジョニングし、必要に応じて迅速にスケールアップまたはスケールダウンできるため、企業は不必要なコストを回避しつつ、変化する市場状況により迅速に対応することができます。

全体として、責任分担モデルは、各組織の固有のニーズに合わせて調整された、柔軟かつ堅牢なITセキュリティへのアプローチを提供します。セキュリティとコンプライアンスに関するAWSの幅広いツールやテクノロジーを活用することで、企業は自社のコアコンピタンスに注力しつつ、データ管理やアプリケーションセキュリティにおけるベストプラクティスを実装することができます。

セキュリティの強化とコンプライアンス対応の柔軟性の向上

セキュリティとコンプライアンスは、あらゆるITインフラにおいて極めて重要な要素であり、特に機密データや規制対象データを扱う企業にとっては不可欠です。AWSの共同責任モデルは、組織が独自の要件を満たすためにさまざまなツールやテクノロジーを活用できるようにすることで、セキュリティとコンプライアンスの柔軟性を高めます。

AWSの大きな利点の一つは、特定のニーズに合わせてさまざまな組み合わせで利用できる、多層的なセキュリティ制御を提供している点です。例えば、顧客はAmazon Inspectorを使用してアプリケーションのセキュリティ上の脆弱性を評価すると同時に、AWS Identity and Access Management（IAM）などの機能を活用してユーザーのアクセスを制御することができます。

さらに、AWSはエンタープライズグレードの暗号化機能を提供しており、顧客は保存中のデータと転送中のデータの両方を保護することができます。これには、Webトラフィック向けのSecure Sockets Layer（SSL）/Transport Layer Security（TLS）のサポート、暗号鍵の管理のためのKey Management Service（KMS）、およびセキュリティ強化のためのハードウェアセキュリティモジュール（HSM）が含まれます。これらの技術を提供することで、AWSは顧客がクラウド環境内で高度に安全なアーキテクチャを構築できるようにしています。

共有責任モデルがセキュリティの強化とコンプライアンス対応の柔軟性を高めるもう一つの方法は、組織が自社のITインフラストラクチャの重要な側面に対する管理権限を維持できるようにすることです。例えば、Amazon EC2 Dedicated HostsなどのAWSサービスを利用することで、顧客は自社専用に割り当てられたハードウェア上でインスタンスをホストできるようになり、これにより、コンピューティング環境に対する管理権限が強化され、不正アクセスやその他のセキュリティ上の問題のリスクを低減することができます。

機密情報を扱う組織では、デフォルトの共有テナントアーキテクチャが提供する管理機能よりも、より厳格な管理が必要となる場合があります。そのような場合、AWS を通じて専用ホスティングソリューションを利用することで、柔軟性やパフォーマンスを損なうことなく、より安全なコンピューティング環境を確保することができます。

最後に、AWSは、組織が規制や業界固有の要件を満たすのに役立つ、さまざまなコンプライアンス認証を提供しています。さまざまな業界で適用されるコンプライアンス認証には、ISO 27001、PCI DSS、SOC 1/2/3、HIPAAなどが含まれます。これらの認証やその他のセキュリティツールを「責任分担モデル」と組み合わせて活用することで、組織はそれぞれの具体的なニーズを満たす、安全かつコンプライアンスに準拠したITインフラを構築することができます。

次のセクションでは、組織がAWSの共同責任モデルを導入する際に直面しうる課題のいくつかについて考察します。

共有モデルにおける潜在的な課題への対応

AWSの「責任分担モデル」は、顧客とサービスプロバイダー間の責任分担に関する明確な枠組みを提供していますが、いくつかの課題が生じる可能性があります。こうした課題には、セキュリティの特定の要素について誰が責任を負うのかの把握、ユーザーアクセス制御の管理、コンプライアンス規制の順守の確保などが含まれます。このセクションでは、組織が責任分担モデルを導入する際に直面する一般的な課題について検討し、それらに対処するための提案を行います。

組織が直面する一般的な課題の一つは、コンプライアンスに関して、自組織が責任を負う範囲とAWSが責任を負う範囲を明確に区別することです。利用するAWSサービスやIT環境との統合状況によっては、責任の範囲が各当事者によって異なる場合があります。例えば、組織によっては、AWSサービスの利用にどの規制が適用されるのか、あるいはサービスを適切に構成する方法が不明確な場合があります。このような場合、AWSのドキュメントを参照したり、この分野の専門家に相談したりして、不明確な点を明確にするのが有効なアプローチとなります。

もう 1 つの潜在的な課題は、適切なセキュリティ態勢を維持しつつ、ユーザーに適切なアクセス制御を確実に適用することです。「共同責任モデル」では、顧客は AWS が提供する IAM ツールを使用して、自身の環境内でアイデンティティおよびアクセス制御ポリシーを管理することが求められます。つまり、顧客は、ユーザーが職務を遂行するために必要なリソースのみにアクセスできるよう、権限を適切に付与する必要があります。 さらに、顧客は職務内容や役職レベルなどに基づいてロールや権限が適切に割り当てられていることを確認すると同時に、必要のない場合はアクセスを制限しなければなりません。これらの課題に適切に対処できない場合、データの損失やシステムの侵害といった深刻な結果を招く恐れがあります。

こうした課題に対処するため、一部の組織では、AWSの外部で独立したID管理ソリューションを導入することを選択しています。これにより、管理が簡素化され、ユーザーアクセスポリシーをより細かく制御できるようになりますが、すでに複雑な環境にさらなる複雑さが加わることにもなります。さらに、多くのサードパーティベンダーは、AWSサービスとの統合機能が十分に成熟していないか、あるいはカスタム開発が必要になる場合があります。

一つの解決策として、組織がAWSのアイデンティティおよびアクセス管理（IAM）サービスを活用することが挙げられます。IAMは、組織がAWS環境全体にわたるアクセス制御のポリシーを定義、管理、および適用できるようにする、さまざまなツールやサービスを提供しています。さらに、顧客はIAMロールを活用して外部ユーザーに一時的な認証情報を提供したり、フェデレーテッドログインオプションを利用してシングルサインオン（SSO）機能をサポートしたりすることができます。

「責任分担モデル」において生じうるもう一つの課題は、常に十分なレベルのセキュリティを維持することです。AWSはインフラストラクチャ層および抽象化されたプラットフォームサービスのセキュリティを管理しますが、セキュアなゲストOS、アプリケーション、およびデータ構成の実装については、お客様が責任を負います。 ここで参考になる例えとして、家を建てることを考えてみましょう。建設業者が上層の構造を追加する前に基礎が安定していることを確認しなければならないのと同様に、組織も、より多くのデータやワークロードをAWSに委託する前に、適切なベースラインのセキュリティプロトコルを実装しなければなりません。

結論として、AWSの「責任分担モデル」は、プロバイダーと顧客の間で責任を分担するための優れた枠組みを提供していますが、実際に導入する際には課題が生じる可能性があります。こうした課題には、一般的に、コンプライアンス規制、ユーザーアクセス制御、および適切なセキュリティポリシーの実施に関する問題が含まれます。Identity and Access Management（IAM）などの既存のAWSツールを活用し、責任範囲を慎重に定義し、セキュリティ構成管理に関するベストプラクティスに従うことで、組織はこれらの課題により適切に対処し、長期的にこのモデルのメリットを享受することができるでしょう。

よくある質問

AWSの共同責任モデルにおいて、顧客にはどのような責任がありますか？

AWSの共同責任モデルでは、お客様はオペレーティングシステムレベルまでの自社データおよびアプリケーションのセキュリティ確保に責任を負います。これには、セキュリティ設定の構成、アクセス制御の管理、および定期的なセキュリティ評価の実施が含まれます。

ガートナーが実施した調査によると、「2025年まで、クラウドセキュリティ上の不具合の99％は顧客側の責任によるものとなる」とのことです（ガートナー、2018年）。これは、共同責任モデルにおいて、顧客の責任を理解し、それを果たすことがいかに重要であるかを浮き彫りにしています。

AWSでは、お客様が自らの責任を果たせるよう、さまざまなツールやリソースを提供しています。これには、Identity and Access Management（IAM）などのセキュリティ機能や、継続的な監視やコンプライアンスチェックを可能にするAWS Configなどのサービスが含まれます。

結局のところ、AWSプラットフォーム上のデータやアプリケーションを保護するためには、お客様が自らの責任を理解し、その責任を自覚して行動することが極めて重要です。

共同責任モデルにおいて、AWSプロバイダーにはどのような責任がありますか？

AWSの共同責任モデルにおいて、プロバイダーの責任には、クラウドを支える基盤インフラのセキュリティと管理が含まれます。これには、データセンターの物理的セキュリティ、ネットワークおよびファイアウォールの設定、ならびに監視やインシデント対応などの運用上のセキュリティが含まれます。

2022年のガートナーのレポートによると、「AWSは、包括的なサービス提供と大規模なインフラ運用における専門知識により、パブリッククラウドIaaS分野のリーダーとして引き続き評価されている」とのことです。同レポートでは、セキュリティおよびコンプライアンスにおけるAWSの強みについても強調されています。

さらに、AWSでは、IDおよびアクセス管理、暗号化オプション、ネットワークセキュリティツール、コンプライアンス認証など、顧客向けの数多くのセキュリティ機能を提供しています。これらの機能は、顧客が「共同責任」の義務を果たせるよう支援することを目的としています。

ただし、AWSは安全なインフラストラクチャを提供しているものの、クラウド内のアプリケーション、データ、その他の資産のセキュリティ確保については、依然としてお客様ご自身の責任であることに留意する必要があります。これには、アクセス制御の適切な設定、オペレーティングシステムやアプリケーションへのパッチ適用、潜在的な脅威や脆弱性の監視などが含まれます。

総じて言えば、クラウドサービスを利用するあらゆる組織にとって、責任分担モデルを理解することは極めて重要です。プロバイダー（この場合はAWS）と協力することで、顧客はクラウド上のデータや資産が適切に保護されることを確保できます。

AWSの共同責任モデルは、他のクラウドサービスプロバイダーのモデルとどのように異なるのでしょうか？

AWSの共同責任モデルは、顧客とAWS双方のセキュリティ上の責任を明確に定義している点で、他のクラウドサービスプロバイダーとは一線を画しています。つまり、顧客はAWSが提供するセキュリティ対策の恩恵を受けつつ、自社のデータやインフラストラクチャをより細かく管理することができるのです。

他のクラウドサービスプロバイダーとは異なり、AWSはクラウドインフラストラクチャのセキュリティだけでなく、データセンターの物理的なセキュリティについても責任を負っています。これには、ハードウェア、仮想化レイヤー、ストレージの設置場所、およびネットワークインフラストラクチャのセキュリティが含まれます。

一方、AWSプラットフォーム内におけるアプリケーションやデータのセキュリティ確保については、お客様ご自身の責任となります。これには、アクセス制御の設定、ユーザーIDや権限の管理、転送中および保存中のデータの暗号化、および規制への準拠の確保などが含まれます。

ガートナーが2020年に発表したレポートによると、AWSの「責任分担モデル」は、顧客がセキュリティ体制全体を強化する上で重要な役割を果たした。実際、ガートナーは「2023年までに、クラウドセキュリティ上の不具合の99％は顧客側の責任によるものになる」と述べている。

要約すると、AWSの「責任分担モデル」は、関係する双方のセキュリティ上の責任を明確に定義することで、顧客が自らのセキュリティをより細かく管理できるようにすると同時に、AWSが提供する世界最高水準のクラウドインフラストラクチャのセキュリティの恩恵も享受できるようにしています。

AWSの共同責任モデルについて、よくある誤解はありますか？

はい、AWSの共同責任モデルについては、よくある誤解があります。中でも最も広く見られるのは、顧客が「クラウドに移行すれば、セキュリティに関する責任はすべてAWSに移る」と信じがちだということです。しかし、これは事実ではありません。企業としては、AWSを利用する際に責任がどのように分担されるかを理解することが重要です。

LogicMonitorが2019年に実施した調査によると、IT専門家の66％が、顧客データのセキュリティ確保はクラウドプロバイダーの単独の責任であると考えていました。さらに、回答者の70％は、従来のオンプレミス型ITインフラと比較して、クラウド環境におけるセキュリティに対する自身の責任は軽いと考えていました。これらの統計は、クラウドにおけるセキュリティと責任について、依然として誤解が存在していることを示唆しています。

AWSはインフラストラクチャの物理的なセキュリティとコンプライアンスを管理していますが、顧客は自身のアカウント内のセキュリティ対策の管理に責任を負うという点に留意することが重要です。顧客は、アプリケーションやインフラストラクチャが適切に構成されていることを確認し、ファイアウォール、IDおよびアクセス管理（IAM）、データ暗号化、パッチ管理などのセキュリティ対策を講じる必要があります。

AWSの「共同責任モデル」ホワイトペーパーからの記述を引用すると：

「顧客は、自社のコンテンツ、プラットフォーム、アプリケーション、システム、およびネットワークを保護するために、どのようなセキュリティ対策を導入するかを、オンプレミスのデータセンターの場合と何ら変わりなく、自ら決定することができます。」

結論として、AWSの共同責任モデルを理解することは、AWSを利用している企業や、クラウドへの移行を計画している企業にとって極めて重要です。AWSは優れたセキュリティ対策を提供しているものの、顧客は自社のインフラストラクチャにおけるセキュリティ対策について責任を負わなければならないことを認識しておくことが不可欠です。

AWSにおける「責任分担モデル」は、セキュリティとコンプライアンスにどのような影響を与えるのでしょうか？

「責任分担モデル」は、AWSにおける重要な概念であり、クラウドサービスプロバイダーと顧客の間で、セキュリティに関する責任の分担を定めたものです。このモデルにより、ユーザーは自身のデータをより細かく管理できる一方で、AWSも必要なセキュリティ基準を維持することが可能になります。

セキュリティの観点からは、アプリケーション、データ、認証情報の保護およびコンプライアンス要件の管理はお客様が責任を負う一方、AWSは自社のインフラストラクチャのセキュリティに責任を負います。Amazonは、自社のインフラストラクチャが高度なセキュリティを確保できるよう設計されており、このセキュリティレベルを維持するために、物理的および環境的な制御、ネットワークおよび境界制御、アクセス制御など、広範な制御措置を実施していると主張しています。さらに、AWSは、暗号化、監視ツール、IDおよびアクセス管理サービスなどの組み込みのセキュリティ対策を提供しています。

コンプライアンスの面では、AWSは、医療機関向けのHIPAAや、決済カード処理業者向けのPCI DSSなど、さまざまな業界標準に準拠しています。ただし、各業界や地域における関連規制への準拠を確保する最終的な責任は、お客様にあります。

マカフィーが2020年に発表した報告書によると、設定ミスが原因でクラウドストレージサービスからデータが漏洩し、上半期だけで15億件の記録が流出しました。この事実は、AWS環境における自身の責任を理解することの重要性を浮き彫りにしています。ユーザーアクセスに多要素認証（MFA）を採用したり、機密データを常に暗号化して保管したりといったベストプラクティスに従うことで、データ漏洩のリスクを大幅に低減することができます。

結局のところ、AWSにおいて適切なセキュリティとコンプライアンスを確保するには、責任分担モデルを理解することが不可欠です。AWSのインフラストラクチャ機能を活用しつつ、自社側でも効果的なセキュリティ対策を実施することで、企業は安全なクラウド環境を確保することができます。