AWSのセキュリティに対する考え方を知っていますか?
「AWSってセキュリティのレベルが高いって聞くけど、実際どうなの?」
お客様よりそのような質問を受けることが、しばしばあるのでAWSのセキュリティに対する考え方をまとめようと思います。
冒頭の質問に対する答えとしてはYESです。
しかし、これはAWSが責任を持つ範囲に対しての回答になります。
AWSはユーザーとの責任範囲を明確に分けており、この考え方をAWSは責任共有モデルと呼んでいます。
1. 責任共有モデルとは
上述した通り、責任共有モデルとはAWSがユーザーとのセキュリティに関する責任分界点を明示化したものです。
責任共有モデルはユーザーへ公開されています。
2. AWSの責任範囲
AWSはリージョン、ハードウェア、ネットワーク等に責任を持ちます。
クラウドとして提供するうえでの、サーバー等の機器類が劣化していないか、機器の保守が切れていないか、機器類が格納されているデータセンターが停電しないか、データセンターに不審者が入り込まないか etc
上記は全てAWSの責任範囲となっている事象です。
つまり、AWSはクラウドとして提供するリソースそのものに責任を持ちます。
AWSのデータセンターはその場所を都市単位でしか公開しておらず、具体的な立地は全く明かされていません。
また、AWSが新たにデータセンターを建てる際には、徹底的に地盤を調査したうえで、建設に取り掛かるそうです。
万が一、災害による停電などが発生しても、非常用の電源設備を有しているためサーバーが止まることはありません。
このような軍レベルのセキュリティ体制を敷いたデータセンターが世界中に配備されているため、AWSのセキュリティレベルは非常に高いと言えます。
3. ユーザーの責任範囲
ユーザーはクラウド環境内で動かすコンテンツに責任を持つ必要があります。
OS/ミドルウェアのセキュリティアップデート、WAFの適用、セキュリティグループ(ファイアウォール)の設定等はユーザー側の責任です。
例えば、AWS上で動かしているWEBサイトが改ざんされた場合はユーザー側の責任になります。
つまり、ユーザーは提供されたリソースの「使い方」についての責任を求められるということです。
4. 分かりやすく例えると・・・
マンションに責任共有モデルを当てはめてみます。
マンションの管理会社をAWS、住人をユーザーとします。
各部屋の入口ドアに鍵を設置するのは管理会社(AWS)の仕事です。
もし、ドアの鍵が破壊されて空き巣に入られた場合は、設置した管理会社(AWS)が責任を負うことになります。
対して、住人(ユーザー)が鍵を閉め忘れて空き巣に入られた場合は、住人(ユーザー)の責任となります。
マンションの設備に対する責任は管理会社(AWS)、マンションの使い方に対する責任は住人(ユーザー)にあるということです。
5. さいごに
AWSは多種多様なサービスを提供しているため、責任範囲はサービスごとに異なります。
それぞれの責任範囲を把握し、上手に使い分けることが出来れば、ユーザーは責任範囲を減らしつつ、高度なセキュリティ対策を実現することが出来ます。
株式会社ディーネット(https://www.denet.co.jp/)
■大阪本社
〒541-0041 大阪府大阪市中央区北浜2-6-11 北浜エクセルビル5F
TEL:06-6231-8887 FAX:06-6231-8897
■東京本社
〒105-0001 東京都港区虎ノ門2-3-22 第一秋山ビル5F
TEL:03-3591-8887 FAX:03-3591-8886
ディーネットはアマゾン ウェブ サービス (AWS) のAWS アドバンストティア サービスパートナーです。
AWSに関するご相談はコチラまで。