クラウドのセキュリティ管理 — 責任共有モデルを理解する

導入

クラウドを使えばセキュリティはすべてサービス会社任せ――そう思っていませんか。実はクラウドにはユーザーとサービス会社が責任を分担する独特の考え方があり、これを理解していないと大きなリスクにつながります。

くわしく知ろう

クラウドセキュリティの基本となるのが「責任共有モデル」です。これはクラウドサービスのセキュリティ責任を、プロバイダ（サービス提供者）とユーザーが分担して担うという考え方を指します。

サービス形態によって責任の範囲は変わります。IaaSではサーバやネットワークなどのインフラはプロバイダが管理しますが、OS・ミドルウェア・アプリケーションはユーザーが管理する必要があります。PaaSではOSやミドルウェアまでプロバイダが担当し、ユーザーはアプリケーションとデータのみを管理します。SaaSはアプリケーションまでプロバイダが提供するため、ユーザーの管理範囲はデータとアクセス権の設定にとどまります。

次に重要なのがIAM（Identity and Access Management：アクセス管理）です。「誰が・どのリソースに・どんな操作をできるか」を細かく制御する仕組みで、必要最小限の権限のみを与える「最小権限の原則」が重要になっています。

ゼロトラストは「社内ネットワークにいるから安全」という前提を捨て、社内外のすべてのアクセスを常に検証・認証する考え方です。テレワークの普及とともに注目度が高まっています。

具体例

たとえばGmailのようなSaaSでは、サーバの管理はGoogleが担当しますが、パスワードの設定や2段階認証の有効化はユーザーの責任です。一方、自社でAWSにサーバを立てるIaaSでは、OSのパッチ当てやアクセス権設定もユーザー自身が行う必要があります。

まとめ・試験ポイント

• 責任共有モデル＝セキュリティ責任をプロバイダとユーザーで分担する考え方
• IaaS→PaaS→SaaSの順でユーザーの管理範囲が小さくなる
• IAM＝誰が何にどんな操作ができるかを管理する仕組み
• 最小権限の原則＝必要最小限の権限のみを付与する
• ゼロトラスト＝社内外を問わずすべてのアクセスを検証する考え方
• 試験では責任共有モデルとIaaS/PaaS/SaaSの責任範囲の違いが頻出