クラウドセキュリティにおける責任共有とは？ AWSやAzureの事例も解説

クラウドセキュリティにおける責任共有とは、「クラウド上で保存されているワークロードに対するセキュリティ保護をプロバイダーと顧客とで責任分担する」ことです。
このように、クラウドワークセキュリティにおける責任共有を大枠でとらえることは難しくありません。

ここでいうプロバイダーとはクラウドサービスプロバイダーを指し、クラウドコンピューティングサービスを提供する企業や組織のことを言います。彼らはインフラストラクチャ、プラットフォーム、ソフトウェア、データストレージなど、さまざまなレベルのクラウドサービスを提供しています。

AWSやAzure等、様々なプロバイダーが責任共有について定義していますが、煎じ詰めると軸となる考え方は同じです。

サービスを提供する側であるプロバイダーが責任を担うべきでは、という考えもありますが、プロバイダーもサービス利用者のすべての行動を監視したり、制限できるわけではありません。となると、クライアントとプロバイダーで責任を共有するという考え方は理にかなっているといえます。

例えば、サービス利用者が使用しているソフトウェアに脆弱性が見つかったとしても、プロバイダーはパッチを適用することはできません。

このように、プロバイダーとサービス利用者は、それぞれの管理下にあるワークロ―ドに対するセキュリティの責任を共有し、保護していく必要があります。

AWSやAzureで定義されている責任共有モデル

上記でも少し紹介しましたが、AWSやAzureなど、プロバイダーごとに責任共有について定義を公表しています。ここでは、AWSとAzureの責任共有モデルを簡単に紹介していきます。

AWSで定義されている責任共有モデル

まずAWSは、AWSクラウド上で提供されている全サービスを行っているインフラの保護について責任があります。このインフラには、ハードウェア、ソフトウェア、ネットワーク、AWSクラウドのサービスを実行する施設が含まれています。

一方でサービス利用者の責任は、選択したAWSクラウドのサービスによって変わります。サービス利用者が担うセキュリティ責任に関する作業量は、選択によって決定します。例えば、IaaSに分類されるサービスを利用した場合、サービス利用者は必要なすべてのセキュリティについての作業を行う必要があります。

Azureで定義されている責任共有モデル

まずAzureは、Microsft 365やMicrosft Dynamics 365などのSaaSに関しては全サービスにおいてプロバイダーに責任があります。一方でIaaS、PaaSに関する責任共有はサービスによって異なります。IaaS、PaaSにおけるサーバー、ストレージ、ネットワークに関してはサービス利用者が責任を担うモデルです。

またサービス利用者は、オンプレミスで利用するサービスはすべて利用者側責任を担います。
一方で、IaaS、PaaSにおけるアプリやデータに関してはサービス利用者が責任を担うモデルです。

上記で解説したように、責任共有の考え方は、決して難しいものではありません。しかし、様々な理由からサービス利用者は、それぞれに責任のあるリソースを正しく認識し、責任共有の分担を正確に実行し、スムーズな運用を行う事は非常に難しいことがあります。

そこでここでは、IaaS、SaaS、PaaSのそれぞれでどのような責任共有の違いが生じるのかについて、解説していきます。

IaaS

責任共有の分担が最も明確に分かりやすいのはIaaSです。IaaSは、上記で紹介したAWSやAzureなどのグローバルスタンダードの企業にとって、メインと言えるほど大きなサービスです。

IaaSでは、サービス利用者はデータやストレージなどのクラウドベースのハードウェアリソースへのアクセスをクラウドサービスプロバイダーが提供します。その為、ハードウェアリソースのセキュリティ責任を担うのは当然それを提供しているプロバイダーになります。

一方で、サービス利用者はプロバイダーが提供するインフラ上で実行するアプリやデータのセキュリティを担います。

このようにIaaSの場合、プロバイダーはハードウェアリソースへのセキュリティ責任を担い、サービス利用者は、実行するアプリやデータに対してセキュリティ責任を担います。

SaaS

SaaSでは責任共有の境界が少し不明瞭になります。SaaSの場合はプロバイダーがインフラとソフトウェアの両方を提供する場合があります。この場合利用者とプロバイダーの責任分担が非常に難しくなります。

ソフトウェアを提供しているのはプロバイダーになるので、SaaSアプリケーションに問題がないことを検証する責任もプロバイダーにあります。また、SaaSアプリケーション内にあるデータを保護する責任もプロバイダーにあります。一方でサービス利用者は、SaaSからダウンロードするデータの保護、SaaSソフトウェアにアクセスする経路に対するセキュリティの責任は、サービス利用者側にあります。

例えば、クラウドベースのオフィスソフトであるMicrosoft 365では、プロバイダーであるMicrosoftにMicrosoft 365のプラットフォームを経由して提供しているソフトウェアが安全である責任があります。一方で、Microsoft 365のプラットフォームに第三者が侵入できないようにする責任や、組織のインフラに保管されているデータやファイルを保護するのはサービス利用者の責任です。

PaaS

上記の2つよりもさらにややこしいのがPaaSを利用する場合です。PaaSは、IaaSとSaaSを組み合わせたもので、組織はクラウド上でこのプラットフォームを活用することで、アプリの開発や実行ができます。

責任共有に関しては、プロバイダー側が、サービスの基盤インフラを保護する責任があります。しかし、ソフトウェアテストを保護したり、デプロイ環境を保護する責任はサービス利用者側にあります。プロバイダーがPaaSの一つとして提供しているソフトウェアアプリは、プロバイダー側に責任があります。しかし、ソフトウェアアプリを用いて開発したソフトウェアは、サービス利用者側に責任があります。

このようにクラウドセキュリティにおける責任共有を理解するには、まずは利用しているクラウドサービスモデルの種類を知りましょう。この判断方法はAWSやAzureのようにサービス名だけでは判断できません。

本コラムでは、クラウドセキュリティにおける責任共有について、AWSやAzureなどの事例を用いて解説してきました。クラウドセキュリティにおける責任共有を理解するのは、実は少し複雑でIaaS、SaaS、Passなどクラウドサービス毎に異なります。

また多くの組織が利用しているであろう、AWSやAzureなどでは、それぞれの会社が定義している責任共有モデルが異なるので、判断するにはそれぞれで確認する必要があります