- Shared Responsibility Model
アマゾンウェブサービス(AWS)を利用していても、セキュリティ対策のすべてをAWSに任せられるわけではありません。AWSはデータセンター、物理インフラ、仮想化基盤などを保護します。一方で、クラウド上のデータ、権限、ネットワーク、アプリケーション、ログ、バックアップはユーザー側で管理します。
この責任範囲を整理した考え方が、AWSの責任共有モデルです。理解が不十分なまま運用すると、IAMの権限過多、Amazon S3の公開設定ミス、ログ監視の不足、バックアップ未確認といったリスクを見落とす可能性があります。
本記事では、AWS責任共有モデルの基本、AWS側とユーザー側の責任範囲、Amazon EC2・Amazon RDS・Amazon S3・AWS Lambdaなどサービスごとの違いを解説します。自社で実施すべきセキュリティ対策と、外部委託時に確認すべき責任分界も整理します。
AWS責任共有モデルとは、AWS環境のセキュリティについて、AWS側とユーザー側の責任範囲を分けて考える仕組みです。
AWSはクラウド基盤を保護し、ユーザーはAWS上のデータ、権限、設定、アプリケーション、監視、バックアップを管理します。
AWSを利用すればインフラ基盤の管理負荷は下がりますが、クラウド上の設定や運用まで自動的に安全になるわけではありません。責任共有モデルは、どこまでをAWSに任せ、どこからを自社で管理するのかを判断する前提になります。
AWSが守るのは、クラウドサービスを提供するための基盤です。データセンターの物理的な保護、ハードウェア、ネットワーク機器、仮想化基盤などが該当します。
ユーザーが守るのは、AWS上で構築・運用する環境です。ユーザーが守るのは、AWS上で構築・運用する環境です。権限、データ、ネットワーク、OS・ミドルウェア、アプリケーション、ログ、バックアップなどを管理します。
たとえば、Amazon S3の基盤はAWSが管理します。しかし、バケットの公開設定、アクセス権限、保存データの暗号化はユーザー側の責任です。設定を誤れば、AWS基盤が安全でも情報漏えいにつながります。
AWSの責任共有モデルでは、責任範囲を「クラウドのセキュリティ」と「クラウド内のセキュリティ」に分けて整理します。
「クラウドのセキュリティ」は、AWSが責任を持つ領域です。インフラ、データセンター、ハードウェア、ネットワーク、仮想化基盤などが含まれます。
「クラウド内のセキュリティ」は、ユーザーが責任を持つ領域です。どのサービスを使い、どのデータを保存し、誰にアクセスを許可し、どの範囲をインターネットに公開するかは、ユーザー側で設計・管理します。
AWSとユーザーの責任範囲は、管理対象によって分かれます。AWSはクラウド基盤を管理し、ユーザーはAWS上のデータ、権限、設定、アプリケーション、運用を管理します。
区分 | AWSが責任を持つ範囲 | ユーザーが責任を持つ範囲 |
物理環境 | データセンター、電源、空調、物理的な入退室管理 | 原則として対応不要 |
インフラ基盤 | サーバー、ストレージ、ネットワーク機器、仮想化基盤 | 利用するサービスの選定、構成判断 |
OS・ミドルウェア | ホストOS、マネージドサービス基盤 | Amazon EC2のゲストOS、ミドルウェア、アプリケーション管理 |
データ | 基盤側の耐久性・可用性を支える仕組み | データ分類、暗号化、アクセス制御、バックアップ設計 |
アクセス管理 | IAMなどの機能提供 | IAMユーザー、ロール、ポリシー、MFA、最小権限の設計 |
ネットワーク | AWSグローバルインフラの保護 | Amazon VPC、セキュリティグループ、NACL、公開範囲の設定 |
監視・ログ | AWS CloudTrail、Amazon CloudWatch、Amazon GuardDutyなどの機能提供 | ログ取得設定、アラート設計、検知後の確認・対応 |
復旧対応 | 障害に備えた基盤運用 | バックアップ取得、復旧手順、リストア確認 |
AWSが責任を持つのは、クラウドサービスを提供するための基盤です。物理設備、ハードウェア、ネットワーク機器、仮想化基盤、マネージドサービスの基盤部分が該当します。
ユーザーは、これらの物理設備や基盤を直接管理する必要はありません。オンプレミス環境で発生していたサーバー調達、機器保守、データセンター管理などの負担は、AWS側に移ります。
ただし、AWSが基盤を保護していても、ユーザーが作成した環境の設定までは自動的に管理されません。基盤の安全性と、利用環境の安全性は分けて考える必要があります。
ユーザーが責任を持つのは、AWS上で構築・運用する環境です。データ、権限、ネットワーク設定、アプリケーション、ログ監視、バックアップ、復旧確認などが含まれます。
特に注意したいのは、設定ミスがそのままセキュリティリスクにつながる点です。IAMポリシーで過剰な権限を付与する、セキュリティグループで不要なポートを開放する、Amazon S3バケットを意図せず公開する、といった問題はユーザー側の責任範囲です。
AWSでは、利用するサービスによってユーザー側の責任範囲が変わります。違いが出るのは、OS、ミドルウェア、設定、データ、コードを誰が管理するかです。
Amazon EC2のように自由度が高いサービスほど、ユーザー側の管理範囲は広がります。一方、Amazon RDSやAWS Lambdaのようなマネージドサービスを使うと、基盤管理の一部をAWSに任せられます。ただし、設定、データ、権限管理まで不要になるわけではありません。
サービス | AWS側の主な責任 | ユーザー側の主な責任 | 運用負荷 |
Amazon EC2 | 物理基盤、ネットワーク基盤、仮想化基盤 | ゲストOS、ミドルウェア、アプリケーション、パッチ適用、セキュリティグループ、IAM | 高い |
Amazon RDS | データベース基盤、ホスト管理、マネージド機能の提供 | DB設定、アクセス制御、暗号化、バックアップ設定、データ管理 | 中程度 |
Amazon S3 | ストレージ基盤、耐久性を支える仕組み | バケット公開設定、アクセス権限、暗号化、ライフサイクル設定 | 設定次第 |
AWS Lambda | 実行基盤、OS管理、スケーリング基盤 | 関数コード、IAMロール、環境変数、依存ライブラリ、ログ確認 | 低めだが設計責任は残る |
Amazon EC2は、仮想サーバーを柔軟に構築できるサービスです。自由度が高い反面、ユーザー側の責任範囲も広くなります。
AWSは物理サーバーや仮想化基盤を管理しますが、Amazon EC2インスタンス上のゲストOS、ミドルウェア、アプリケーション、セキュリティパッチの適用はユーザー側で管理します。セキュリティグループの設定、IAMロールの付与、ログ監視、バックアップ設計も自社で管理します。
Amazon EC2を使う場合は、インスタンス作成後の運用まで見込む必要があります。OSの更新を放置したり、不要なポートを開放したりすると、AWS基盤が安全でも脆弱な環境になります。
Amazon RDSは、データベースの運用負荷を抑えられるマネージドサービスです。DBサーバーの基盤管理、ホスト側の保守、バックアップやパッチ適用を支える機能はAWSが提供します。
ただし、データベース運用のすべてをAWSに任せられるわけではありません。保存するデータ、接続元、暗号化、バックアップ保持期間などはユーザー側で設計します。
特に、公開範囲やアクセス権限の設定を誤ると、不正アクセスや情報漏えいにつながります。Amazon RDSは基盤管理の負荷を下げますが、データと設定の責任はユーザー側に残ります。
Amazon S3は、ファイル、ログ、バックアップデータなどを保存できるストレージサービスです。ストレージ基盤の耐久性や可用性を支える部分はAWSが管理します。
一方で、バケットの公開設定、アクセス権限、保存データの暗号化はユーザー側で設定します。Amazon S3は設定次第で外部公開もできるため、権限管理を誤ると意図しないデータ公開につながります。
保存先として利用しているだけで安全とは限りません。バケットポリシー、ACL、パブリックアクセスブロック、IAMポリシーの組み合わせを確認し、不要な公開状態を避ける必要があります。
AWS Lambdaは、サーバーを管理せずにコードを実行できるサービスです。OS管理、実行基盤、スケーリングの多くはAWSが担うため、Amazon EC2と比べてインフラ運用の負荷は下がります。
ただし、関数コードの脆弱性、依存ライブラリの管理、IAMロールの権限、環境変数の扱い、ログ確認はユーザー側の責任です。AWS Lambda関数に過剰なIAM権限を付与すると、想定外のAWSリソースへアクセスできる状態になります。
AWS Lambdaはサーバー管理を減らせる一方で、コードと権限設計の重要性が高いサービスです。責任の中心が、サーバー管理からアプリケーションと権限管理へ移ると考える必要があります。
責任共有モデルを理解していても、実際の運用ではAWSに任せられる範囲を広く見積もりすぎることがあります。特に、マネージドサービス、バックアップ、外部委託では責任範囲の認識ずれが起こりやすくなります。
AWSの利用は、基盤管理の負荷を下げる手段であり、アカウントや権限、ネットワーク、アプリケーション、データの管理を不要にするものではありません。
IAMユーザーに過剰な権限を付与する、セキュリティグループで不要なポートを開放する、といった設定は不正アクセスのリスクになります。AWSを使うことで基盤管理の負荷は下がりますが、設定と運用の責任までなくなるわけではありません。
Amazon RDSやAWS Lambdaなどのマネージドサービスでは、OSや基盤の管理負荷を抑えられます。一方で、アクセス権限、暗号化、公開範囲、ログ取得、バックアップ設定はユーザー側で確認します。
Amazon RDSの接続元を広く許可する、Amazon S3バケットを意図せず公開する、といった設定ミスは、マネージドサービスを使っていてもユーザー側のリスクです。マネージドサービスは運用負荷を減らす仕組みであり、設定責任をなくす仕組みではありません。
バックアップを設定していても、復旧できる状態とは限りません。取得対象、保存期間、復旧手順、権限、復旧時間の目標が整理されていなければ、障害時に業務を戻せない可能性があります。
本番環境では、バックアップの有無だけでなく、リストア手順と復旧後の動作確認まで運用に含めます。AWS Backupやスナップショットを利用する場合も、どのデータを、どの頻度で、どこまで復旧するのかは自社側で決めます。
AWSの構築や運用を外部パートナーに委託しても、自社の管理責任がなくなるわけではありません。委託先が対応する範囲と、自社で判断・承認・確認する範囲は分けて整理します。
監視対象、障害時の一次対応、バックアップの復旧確認、権限変更の承認、セキュリティ改善の提案範囲が曖昧なままだと、問題発生時の対応が遅れます。契約内容だけでなく、日々の運用フローとして誰が何を確認するのかまで明確にしておく必要があります。
AWSには各領域を支援するサービスがあります。ただし、導入だけでは対策は完了しません。保護対象、確認担当、異常時の対応範囲まで運用に落とし込みます。
AWS環境では、IAMでユーザー、ロール、ポリシーを管理します。権限は必要な操作に絞り、管理者権限を広く付与しない設計が基本です。
管理者アカウントや重要な操作を行うユーザーには、MFA(多要素認証)を設定します。アクセスキーを使う場合は、不要なキーの削除、定期的な棚卸し、利用状況の確認も必要です。
権限管理では、「誰が何をできるか」だけでなく、退職者や異動者の権限が残っていないか、検証用の強い権限が本番環境に残っていないかまで確認します。
AWS上のデータは、保存場所、重要度、アクセス範囲を整理したうえで保護します。Amazon S3、Amazon RDS、Amazon EBSなどでは、保存データの暗号化設定を確認します。
あわせて、公開範囲の管理も欠かせません。Amazon S3バケットのパブリックアクセス、Amazon RDSの接続元、セキュリティグループの開放範囲を誤ると、意図しない外部公開につながります。
暗号化していても、アクセス権限が広すぎればリスクは残ります。データ保護では、暗号化とアクセス制御をセットで確認します。
AWS環境では、誰が、いつ、どの操作を行ったかを追跡できる状態にします。AWS CloudTrailを使うと、API操作や管理イベントの記録を確認できます。
Amazon GuardDutyでは、不審なAPI操作、認証情報の悪用が疑われる動き、通常と異なる通信などを検知できます。ただし、ログや検知結果は蓄積するだけでは機能しません。
異常検知後の確認者、エスカレーション基準、初動対応の範囲まで決めておかなければ、通知だけが増え、対応は遅れます。
AWS環境は、構築時に安全な設定にしても、運用中の変更で状態が変わります。権限追加、ネットワーク変更、サービス追加が積み重なると、当初の設計からずれることがあります。
AWS Security Hubでは、複数のセキュリティサービスの検出結果を集約できます。AWS Configでは、リソース設定の変更履歴やルール違反を確認できます。
見るべきポイントは、検出結果の数ではありません。重大度の高い指摘を誰が確認し、どの順番で改善するかです。設定状態を継続的に確認しなければ、運用の中でリスクが蓄積します。
バックアップは、取得しているだけでは不十分です。障害や誤操作が起きたときに、必要なデータを、必要な時点に、必要な時間内で戻せるかを確認します。
AWS Backupを使うと、複数のAWSサービスのバックアップを一元管理できます。ただし、バックアップ対象、取得頻度、保持期間、復旧手順はユーザー側で設計します。
本番環境では、リストア手順の確認が欠かせません。バックアップが存在していても、復旧に必要な権限や手順が整理されていなければ、障害時の業務再開が遅れます。
責任範囲を整理したら、次に確認すべきなのは、自社で運用を継続できる体制があるかどうかです。
権限管理、監視、障害対応、バックアップ、復旧確認、セキュリティ改善まで社内で回せない場合は、外部委託も選択肢になります。ただし、外部委託は責任範囲の不明確な移管ではありません。委託先が対応する範囲と、自社で判断・確認する範囲を分けて整理します。
自社運用を選ぶ場合は、AWSの設定変更や障害対応を継続できる体制が必要です。担当者がいるだけでは不十分で、権限変更、ログ確認、アラート対応、バックアップ確認、脆弱性対応を日常業務として回せるかを確認します。
特に見るべきなのは、異常検知後の動きです。Amazon CloudWatchやAmazon GuardDutyで通知を受けても、確認担当、緊急度の判断基準、復旧対応の範囲が決まっていなければ、実運用では機能しません。
社内にAWSの設計・運用を判断できる人材がいるか、夜間・休日の障害に対応できるか、属人化せずに引き継ぐ手順があるかを確認します。体制が不足したまま自社運用を続けると、通知の見落とし、権限の放置、復旧手順の未整備といった問題が蓄積します。
外部委託する場合は、「AWS運用を任せる」という大きな言葉ではなく、具体的な対応範囲を確認します。監視だけなのか、一次対応まで含むのか、原因調査や復旧作業まで依頼できるのかで、障害時の対応範囲は大きく変わります。
確認項目 | 確認すべき内容 |
監視範囲 | どのリソース、メトリクス、ログを監視するか |
通知後の対応 | 通知のみか、一次切り分けまで行うか |
障害対応 | 原因調査、復旧作業、エスカレーションの範囲 |
バックアップ | 取得対象、頻度、保持期間、失敗時の通知 |
復旧確認 | リストア作業や復旧テストまで含むか |
セキュリティ改善 | 検知結果の報告だけか、改善提案まで行うか |
契約上は運用支援に見えても、実際には「通知まで」「レポート提出まで」にとどまる場合があります。障害時にどこまで対応してもらえるのかを確認しなければ、問題発生後に自社側の対応範囲が初めて明らかになります。
外部パートナーに運用を委託しても、最終的に自社が把握すべき責任は残ります。特に、業務影響の判断、データの重要度、権限付与の承認、復旧優先度、セキュリティ上の許容範囲は、自社側で決めます。
委託先はAWS運用の専門知識を提供できますが、自社の業務要件やリスク許容度まで代わりに決めることはできません。どのシステムを優先して復旧するか、どのデータを厳格に保護するか、どの権限変更を許可するかは、事業側の判断を含みます。
外部委託を有効に機能させるには、委託先に任せる作業範囲と、自社が判断する範囲を分けておく必要があります。監視、障害対応、バックアップ、セキュリティ改善の役割が明確でなければ、責任の抜け漏れが発生します。
AWS責任共有モデルでは、AWSがクラウド基盤を担い、ユーザーはAWS上のデータ、権限、設定、アプリケーション、監視、バックアップを管理します。物理インフラや仮想化基盤の管理負荷は下がりますが、自社環境の設定や運用までAWSに任せられるわけではありません。
責任範囲はサービスによって異なります。Amazon EC2ではOSやミドルウェアの管理までユーザー側に残り、Amazon RDSやAWS Lambdaでは基盤管理の負荷が下がる一方で、データ、権限、設定、コードの管理が必要です。
安全に運用するには、権限管理、データ保護、ログ監視、設定確認、復旧準備を継続する体制が欠かせません。外部委託する場合も、監視範囲、障害対応範囲、復旧対応、権限変更の承認、改善提案の範囲を明確にし、自社で把握すべき責任を整理しておきます。