AWSなどのクラウドサービスを利用する際には、クラウドサービスプロバイダーとユーザーの責任範囲をしっかり理解しておくことが重要です。責任の範囲を曖昧にしてしまうと、トラブルの原因になりかねません。

本記事では、責任共有モデルの意味やSaaS・PaaS・IaaSの責任範囲、主要クラウドサービスの責任共有モデルについて詳しく解説します。

責任共有モデルとは

責任共有モデルとは、クラウドサービスにおけるセキュリティとコンプライアンスの責任を、クラウドサービスプロバイダーとユーザーが分担する概念です。

原則として、クラウドサービスプロバイダーは物理的なデータセンターの保護やネットワークのセキュリティに責任を持ち、ユーザーはクラウド内のデータの暗号化やアクセス管理といったセキュリティに責任を持つ必要があります。

AWSやMicrosoft Azure、Google Cloud Platform（GCP）などの主要なクラウドサービスプロバイダーは、それぞれ独自の責任共有モデルを持ち、ユーザーがどのようにセキュリティを管理すべきかをガイドラインで示しています。

「クラウドの」セキュリティと「クラウド内の」セキュリティの違い

責任共有モデルでは、「クラウドのセキュリティ」と「クラウド内のセキュリティ」に分けて考えることが重要です。

「クラウドのセキュリティ」は、クラウドサービスプロバイダーが提供するインフラやネットワークの安全性を確保することを指します。データセンターの物理的なセキュリティやネットワークの防御策などをクラウドサービスプロバイダーが責任を持って担当することで、ユーザーはその安全性を信頼して利用できるわけです。

一方、「クラウド内のセキュリティ」は、クラウド上で動作するアプリケーションやデータの保護を意味します。クラウド内のセキュリティはユーザーが主に管理する部分であり、アクセス制御やデータの暗号化、アプリケーションのセキュリティパッチの適用などはユーザーが責任を持つ必要があるわけです。

上記のように、どこまでがクラウドサービスプロバイダーの責任で、どこからが自分の責任なのかを理解することで、クラウドサービスを安全に利用することが出来ます。

責任共有モデルにおけるセキュリティの考え方

クラウドサービスプロバイダーは、インフラストラクチャの物理的なセキュリティやネットワークの保護といった基本的な部分を管理します。これにより、ユーザーは自分でサーバーを物理的に管理する必要がなくなり、セキュリティ対策の一部を事業者に委ねることが可能です。

しかし、クラウドサービスプロバイダーから提供されるセキュリティに依存しすぎるのは、安全とは言えません。クラウドサービスプロバイダーが提供するセキュリティ対策はクラウドサービスに限定されたものであり、クラウド内のセキュリティを保証するものではないからです。セキュリティの責任がクラウドサービスプロバイダーとユーザーの間で分かれているため、どちらか一方の責任を怠ると、全体のセキュリティが脆弱になる恐れがあります。

クラウドサービスを安全に活用するには、事業者が提供するセキュリティ対策を理解し、それを前提にして自社のセキュリティを強化することが重要です。

総務省のガイドラインにおける責任共有モデルの考え方

総務省は、クラウドサービスの利用・提供に関するガイドラインを提供し、クラウドサービスの種類に応じた責任共有モデルの範囲を明示しています。

総務省のガイドラインでは、クラウドサービスのセキュリティを高めるためには、クラウドサービスプロバイダーとユーザーが協力し、クラウドサービスに対する責任をクラウドサービスプロバイダーとユーザーが共有する必要があるとしています。

【参考】

クラウドサービス利用・提供における適切な設定のためのガイドラインの概要「総務省」

 

責任共有モデルにおけるクラウドサービスの責任範囲

IaaSの責任範囲と運用ポイント

IaaS（Infrastructure as a Service）では、ユーザーがクラウド内の管理を行う一方で、クラウドサービスプロバイダーが基盤となる物理的なハードウェアやネットワークの管理を担当します。IaaSを利用する際には、ユーザーは仮想マシンやストレージ、ネットワークの設定などを自ら行う必要があります。

IaaSの運用においては、セキュリティやバックアップ、リソースの最適化が重要です。ユーザーは、オペレーティングシステムのセキュリティパッチの適用や、データのバックアップを定期的に行うことが求められます。また、リソースの使用状況をモニタリングし、必要に応じてスケールアップやスケールダウンを行うことで、コスト効率を高めることが可能です。

PaaSの責任範囲と運用ポイント

PaaS（Platform as a Service）では、クラウドサービスプロバイダーがハードウェアやオペレーティングシステム、ミドルウェアの管理を担当し、ユーザーはアプリケーションの開発やデータ管理、セキュリティ設定を担うこととなります。このように、PaaSは開発者にとって利便性が高い反面、セキュリティやデータの管理においてはユーザー側の責任が大きいわけです。

PaaSの運用においては、自社のセキュリティポリシーに沿ってデータの暗号化やアクセス制御の設定を適切に行うことで、セキュリティリスクを低減できます。また、クラウドプロバイダーが提供するセキュリティ機能を活用し、定期的なセキュリティ評価を実施することも欠かせません。

SaaSの責任範囲と運用ポイント

SaaS（Software as a Service）は、クラウドサービスの一形態であり、ユーザーに対してソフトウェアをインターネット経由で提供するモデルです。

SaaSでは、クラウドサービスプロバイダーがソフトウェアの更新やセキュリティパッチの適用を行い、ユーザーは自社のデータの保護やアクセス権限の設定を行う必要があります。

SaaSの運用においては、定期的なバックアップを行い、データの消失に備えることが求められます。また、ユーザーアクセス管理の強化も欠かせません。特に、複数のユーザーが同時にアクセスする環境では、権限設定や二要素認証の導入といったユーザーアクセス管理の強化も欠かせません。

主要クラウドサービスの責任共有モデル

AWSの責任共有モデル

AWSの責任共有モデルは、AWSが管理する部分とユーザーが管理すべき部分を分けて考えることで、クラウドサービスを利用する際のセキュリティや運用の責任を明確にすることを目的としています。

AWSはインフラストラクチャのセキュリティを担当し、データセンターやネットワークの保護を行います。一方、ユーザーはデータやアプリケーションの管理、セキュリティ設定の適切な運用を行う必要があります。

【参考】

責任共有モデル – Amazon Web Services (AWS)

 

Microsoft Azureの責任共有モデル

Microsoft Azureの責任共有モデルは、クラウドサービスの利用における責任の分担を明確にするために設計されています。Azureを利用する際には、クラウドプロバイダーであるMicrosoftとそのサービスを利用するユーザーの間で、責任がどのように分けられるかを理解することが重要です。

Microsoftはインフラストラクチャの管理や物理的なデータセンターのセキュリティ、ネットワークの保護、ハードウェアのメンテナンスなどを担当します。一方、ユーザーは仮想マシンやストレージの設定、アプリケーションのセキュリティ、データの保護、アクセス管理など、自分たちが管理するリソースに対する責任を持ちます。

【参考】

クラウドでの共同責任 - Azure

 

GCP（Google Cloud）の責任共有モデル

GCP（Google Cloud Platform）の責任共有モデルは、Googleが提供するクラウドサービスにおいて、セキュリティと運用の責任をどのように分担するかを明確にするための指針です。

GCPの責任共有モデルでは、GCPが物理的なデータセンターのセキュリティやネットワークの保護、基盤となるハードウェアの維持管理を行います。一方、ユーザーは自分のアプリケーションやデータのセキュリティを確保し、適切なアクセス権限を設定する必要があります。

また、GCPはユーザーがセキュリティを強化できるよう、多様なツールやサービスを提供しています。たとえば、Google Cloud IdentityやCloud IAM（Identity and Access Management）を活用することで、アクセス制御をより厳密に管理することが可能です。

【参考】

Google Cloud における責任と運命の共有

 

責任共有モデルを踏まえたセキュリティ対策

クラウドサービスでは、クラウドサービスプロバイダーがインフラ部分のセキュリティを管理し、ユーザーがデータやアプリケーションのセキュリティを管理するという役割分担があります。つまり、ユーザーは自社の責任範囲を正確に把握し、適切な対策を講じる必要があるということです。

AWSやMicrosoft Azureなどの主要クラウドサービスは、セキュリティ支援機能を提供しています。これらを活用することで、ユーザーは自社のセキュリティ体制を強化することが可能です。さらに、自社の責任範囲を理解し、外部のセキュリティ専門家による監査を受けることで、効果的なセキュリティが実現できます。

責任範囲の把握

クラウドサービスを利用する際には、クラウドサービスプロバイダーとユーザーの間で責任がどのように分かれるかを明確に理解することが重要です。

クラウドサービスは一般的に、IaaS、PaaS、SaaSに分類され、それぞれで責任の範囲が異なります。

IaaSでは基盤となるインフラの管理はクラウド事業者が行いますが、OSやアプリケーションの設定はユーザーの責任です。PaaSでは、アプリケーションの開発や管理に注力できる一方、データの保護やアクセス管理はユーザーが担います。SaaSでは、ソフトウェア自体の運用は事業者が行いますが、ユーザーはデータの入力や使用方法に責任を持ちます。

上記のようなクラウドサービスごとの責任範囲を正確に把握し、適切なセキュリティ対策を講じることが重要です。

クラウド標準のセキュリティ支援機能の活用

クラウド標準のセキュリティ支援機能の活用は、クラウド環境でのセキュリティを強化するために非常に重要です。

クラウドサービスプロバイダーは、セキュリティをサポートするための多くの機能を提供しています。AWSの「AWS Shield」や「AWS WAF（Web Application Firewall）」、Microsoft の「Microsoft Defender for Cloud」、GCPの「Google Cloud Armor」などを適切に活用することで、クラウド環境の安全性を高めることが可能です。

また、AWSの「Amazon CloudWatch」やAzureの「Azure Monitor」など、クラウドサービスプロバイダーが提供するログ管理機能や監視ツールを活用することで、システムの異常を早期に検出し、迅速に対応することができます。

外部のセキュリティ専門家による監査

クラウドサービスを利用する際、システムの脆弱性やセキュリティリスクは常に変化し続けるため、外部のセキュリティ専門家による監査を受けることが推奨されます。専門家の視点での評価は内部だけでは気づきにくい問題点を明らかにし、より効果的なセキュリティ対策を講じるための基礎となるからです。また、内部で定期的にセキュリティチェックを行うことで、日常的な運用の中での小さな変化や問題を迅速に把握できます。

まとめ

今回は、責任共有モデルの意味やSaaS・PaaS・IaaSの責任範囲、主要クラウドサービスの責任共有モデルについて解説しました。

責任共有モデルは、クラウドサービスの利用者と提供者の責任範囲を明確にするための重要な枠組みです。責任共有モデルを理解することで、セキュリティや運用に関する不安を軽減し、安心してサービスを活用できます。

本記事で解説した、クラウドサービスの責任範囲や責任共有モデルを踏まえたセキュリティ対策を参考に、クラウドサービスを活用してみましょう。