クラウドセキュリティ
責任共有モデル
別称: 共有責任モデル, クラウド責任分担表
定義
クラウド事業者(クラウドそのもののセキュリティ)と顧客(クラウド上のセキュリティ)で責務を分担する、クラウドセキュリティの基本枠組み。
責任共有モデルは、どのセキュリティ統制をクラウド事業者が運用し、どれを顧客自身が実装しなければならないかを定義します。IaaS では、事業者が物理データセンター・ハイパーバイザー・基幹ネットワークを守り、顧客はゲスト OS のパッチ適用、IAM、ネットワーク設定、暗号化、アプリケーションコードに責任を負います。PaaS や SaaS では事業者が担う層は増えますが、ID、データ分類、共有設定、連携先のセキュリティといった顧客の責務は残ります。これらの境界を誤解することはクラウド侵害の主要な原因であり、顧客は事業者がワークロードやデータを守っていると勘違いしがちです。AWS・Azure・GCP などの大手はそれぞれモデルを公開しており、統制マッピングの基礎として用いるべきです。
例
- AWS は S3 サービス自体を保護し、顧客はバケットポリシーやオブジェクト暗号化に責任を持つ。
- Microsoft は Microsoft 365 プラットフォームを保護し、テナント側で条件付きアクセスや DLP を設定する。
関連用語
クラウドセキュリティ
パブリック・プライベート・ハイブリッドクラウド環境に置かれたデータ・アプリケーション・インフラを保護するための、ポリシー・統制・技術の総体。
IaaS(Infrastructure as a Service)
クラウド事業者が仮想化された計算・ストレージ・ネットワークを提供し、OS・ミドルウェア・アプリケーションは顧客が管理するクラウドサービスモデル。
PaaS(Platform as a Service)
ランタイム・ミドルウェア・OS・インフラを事業者が管理し、顧客はアプリケーションコードとデータに集中するクラウドモデル。
SaaS(Software as a Service)
ベンダーがアプリケーションを運用し、顧客がサブスクリプション形式でインターネット経由で利用するクラウド提供モデル。
Cloud Misconfiguration
Cloud Misconfiguration — definition coming soon.
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。