メルマガ
AWS Customer Agreementを理解することはAWSのビジネスを理解することである。
AWSのクラウドであれば、それは全て、AWS社が提供するAWS Customer Agreementに記載されています。
https://d1.awsstatic.com/legal/aws-customer-agreement/AWS_Customer_Agreement_Japanese_2023-04-20.pdf
AWS CAの日本語翻訳版は、情報の提供のみを目的として提供されているようで、内容については英語版が優先されるようですので、厳密な確認また正しい内容は英語版をご確認いただく必要があります。
前回の記事では、AWSのCustomer Agreementについての概要をご紹介し、その中にある「SLA」や「停止」に関する内容を確認しました。今回の記事では2条の「サービス利用者の責任」について確認し、その考え方の根幹となる「責任共有モデル」について確認したいと思います。
責任共有モデルとは
AWS CAには、その文書の日本語訳には以下のような記載があります。
サービス条件で明示的に認められた場合を除き、サービス利用者は、一つの電子 メールアドレスにつき一つの AWS アカウントのみ作成するものとする。アマゾンによる本契約の違反 により生じた場合を除き、(a)サービス利用者は、自らのアカウントに基づき生じるあらゆる活動につき、かかる活動がサービス利用者の承認によるものか、またはサービス利用者、サービス利用者の従 業員、もしくは第三者(サービス利用者の業務委託先、代理人またはエンドユーザーを含む。)のいずれかが引き受けたかを問わず責任を負うものとし、(b)アマゾンおよびアマゾンの関連会社は、サービス利用者のアカウントへの不正アクセスにつき、責任を負わないものとする。
また、サービス利用者が提供しているコンテンツ、セキュリティ施策やバックアップ、ログイン用の本人確認手段や認証情報、サービス利用者のエンドユーザとの関係などについても基本はサービス利用者側が責任を負うとしています。
これらの考え方についてはAWSがかかげている責任共有モデルの考えが表れています。
AWS(Amazon Web Services)の責任共有モデル(https://aws.amazon.com/jp/compliance/shared-responsibility-model/)は、クラウドセキュリティの基本的な概念です。このモデルでは、AWSがクラウドインフラストラクチャのセキュリティを担当し、顧客は自身のクラウド上で実行されるアプリケーションやデータのセキュリティを担当します。
AWSの責任
AWSの責任範囲には以下のような要素が含まれます:
- インフラストラクチャのセキュリティ:AWSはデータセンター、ネットワーク、ハードウェア、およびその他の物理的資源のセキュリティを管理します。
- コンプライアンスの維持:AWSは、業界の標準や規制要件に準拠して、インフラストラクチャを維持します。
- 基盤サービスのセキュリティ:AWSは、コンピューティング、ストレージ、データベースなどの基盤となるサービスのセキュリティを確保します。
顧客の責任
一方で、AWSの顧客は以下の領域でセキュリティを担当する必要があります:
- データのセキュリティ:顧客は、自身のデータの暗号化、アクセス管理、および機密性の維持を管理する必要があります。
- アプリケーションのセキュリティ:顧客は、自分たちのアプリケーションをセキュアに設計、実装、および運用する責任があります。
- アイデンティティとアクセス管理:ユーザーの認証と権限付与の管理も顧客の責任です。
- オペレーティングシステムとネットワークの設定:顧客は自分たちの仮想インスタンスのOSやネットワークの設定を適切に管理する必要があります。
このモデルは、AWSがクラウドの「基礎」となる部分を保護する一方で、顧客は「上層部」を管理するという概念に基づいています。これにより、セキュリティはより効率的かつ効果的になり、顧客は自分たちのビジネスに特有な要件に集中することができます。
まとめ(最終的な考慮事項)
AWSの責任共有モデルを理解することは、クラウド環境でビジネスを行う際のリスクを適切に管理し、セキュリティのベストプラクティスを実施するために不可欠です。このモデルにより、AWSの顧客は自分たちのセキュリティ責任をより明確に理解し、AWSが提供する広範囲のセキュリティツールとサービスを最大限に活用することができます。
