ソリッドシード株式会社

クラウドサービスの責任共有モデルの責任範囲まとめ

2021年11月18日

日本政府がAWSを採用するなど様々なサービスでクラウドサービスが利用されています。
弊社でもAWSを利用して自社サービスを開発しており、責任範囲については重要になりますので一度まとめてみようと思います。

責任共有モデルとは?

ユーザー側とクラウドサービス側のセキュリティの責任範囲をどこまで負担するかの定義になります。
ユーザーはクラウドサービスが提供しているモジュールを使用して構築したアプリケーションレイヤーの部分のセキュリティ責任を負担し、クラウドサービスはサービスを提供している施設の物理的な部分のセキュリティ責任を負担します。
クラウドサービスが提供しているモジュールを利用してどこまでセキュリティを強固するなどはユーザーが選択し考えていく必要があります。
参考としてAWSのサイトに「責任共有モデル」と「責任共有モデルとは何か、を改めて考える」があります。

サービスによる責任の違い

先ほどの説明でクラウドサービスは施設の物理的な部分と記述しましたが、IaaS、PaaS、SaaSのサービス事にクラウドサービス側の責任範囲が違くサービスによっては広くなります。

IaaSの責任範囲

クラウドサービス側がハードウェアやネットワークなどのインフラを提供しているので、この範囲内のセキュリティ責任を負います。

PaaSの責任範囲

クラウドサービス側がOSやミドルウェアを提供しているので、インフラも含めてこの範囲内のセキュリティ責任を負います。

SaaSの責任範囲

クラウドサービス側がソフトウェアを含めて提供しているので、ほとんど全ての範囲のセキュリティ責任を負います。

投稿者:Saito