AWS責任共有モデルとは? その必要性
現在のデジタル化された世界においては、クラウドコンピューティングが、スケーラブルで従量制のインフラとサービスによって、従来の企業運営に革命をもたらしています。この共有コンピューティングリソースプールは、グローバルデータセンターに設置された数千台のハイパワーサーバーで構成されています。エンタープライズ品質のプロセッサを備え、さらに数千台の仮想マシンを生成するのに十分であり、多数の顧客に対応することが可能です。
しかし、このような共有可用性とアクセスの問題は、プライバシー保護とパブリッククラウドに保存されたプライベートリソースのシステム的な完全性にとって大きな懸念材料となります。幸いなことに、AWS責任共有はその解決策となります。
このアプローチは、ユーザーの運用負担を半減させると同時に、より機敏なコントロールを可能にし、適格で業界に特化した展開計画に集中できるように設計されています。
Table of Contents
AWS責任共有モデルとは?
定義
AWS責任共有モデルは、クラウドセキュリティとデータストレージを強化する目的でAmazonが導入した定義済みのプラクティスです。セキュリティとコンプライアンスの側面から、AWSセキュリティのまさに中核となるものです。
AWS責任共有モデルという言葉は、その名の通り、AWSとプロバイダ、そしてお客様というパートナー間での責任分担を意味します。
明確な比較対象
AWS責任共有モデルを十分に理解した上で、各サイドのコントロールのテリトリー範囲やセキュリティを適切に定義することで、よりスムーズな運用とセキュアな環境の維持が可能になると考えられます。
AWSはクラウドのセキュリティに責任を持ち、カスタマーはクラウド内のセキュリティに責任を持ちます。
2.デプロイの種類
デプロイという単語の定義を理解したところで、次にデプロイの方法を見ていきましょう。デプロイは、実施する環境や要件によって選択される方法が異なります。本記事では、デプロイによってダウンタイムが生じにくい4つの方法を紹介します。
AWS責任共有モデルの特徴
以下においては、この共有モデルの主な特徴をご紹介します。
セキュリティは最優先項目
企業がクラウドの導入を躊躇する最大の要因は、セキュリティの問題にあります。ただし、AWSはデータエクセレンスとガバナンスのための最高品質のガイダンスの下で構築された、強化されたデータ保護を提供します。あらゆる意味で、AWSはセキュリティに多大な資本を投じ、細心の注意を払っています。
そのクラウド環境とサービスイノベーションは、リスクに敏感な企業のニーズにも応え、厳しいコンプライアンスを確保します。ユーザーのコンテンツは、AWSの世界トップクラスのセキュリティ専門家チームによって24時間年中無休で監視、保護されます。AWSを利用することで、お客様は情報の暗号化、移行、保持管理などのインタラクティブな機能を利用しながら、個人情報に対する完全な自律性という高い保証のもとに、安全なグローバルインフラを構築することができます。最終的に、AWS は、疑わしい可能性のあるものを検出するためにも使用できます。
優れた視認性と制御性
AWSの場合、あなたは全てをコントロールすることができます。どこに(データの保存場所)、誰が(アクセス権を持つ人)、何を(任意の時間におけるリソースの消費量)などの質問に答える情報に完全にアクセスできます。
きめ細かなアイデンティティとアクセス制御、そしてリアルタイムセキュリティの絶え間ない監視により、ユーザーの豊富な情報が正しくアクセスされ、扱われることを保証します。AWSグローバルデザインは、ローカライゼーションのデモンストレーションを提供し、ユーザーのローカルデータレジデンシー要件に対応します。
効率性
プロセスの自動化により、効率は大幅に向上します。
冒頭で述べたように、クラウド化により、お客様のITスタッフは従来の管理業務から解放され、より重要な目の前のタスクやニーズに集中できるようになります。リソースや投資の流れがコアビジネスのニーズにより責任ある分野に振り向けられるようになるのです。さらに、自動化されたインフラとアプリケーションのセキュリティは、コントロール、機密性、完全性のすべての時間的な可用性を提供し、それを超えることができます。AWSの追加により、既存のワークフローをサポートし、オペレーションを合理化し、レポート手順を簡素化することができます。
AWSのセキュリティタスクを自動化することで、サービス統合に伴う高いリスクを軽減することができます。多様な統合ソリューションが、選択的に呼び出され、1つの新しい、すべての権限を持つ取引ツールに結合されることができます。
例えば、機械学習により、AWSマネジメントコンソールは、機密データの自動的かつ継続的な発見、分類、保護を可能にします。
3つのAWS責任共有モデル
AWSは、定義された境界と責任を明確に理解するために、それぞれ異なる開始点と終了点の責任を表す3つの主要なモデルに分解され、大まかに分類されます。
Infrastructure as a Service (IaaS)
IaaSは、高いレベルのセキュリティを提供すると同時に、企業に高いレベルのアクセスと制御を可能にします。IaaSのユニークな点は、お客様により機動的なビジネスの自律性を提供することです。
その中で、仮想プライベートクラウド(VPC)の運用体制や関連サービス(Elastic Block Store:EBS)、オートスケーリング、ネットワーク)の確保は、ユーザーの責任で行うことができます。一方、AWSは、物理インフラ(サーバーや仮想化技術)の安全確保に責任を持ちます。
コンテナサービス
このモデルにおいては、ユーザーはオペレーティングシステムやプラットフォームをコントロールすることはできません。ファイアウォールの設定やデータ保護(暗号化、アクセス管理など)については、主にユーザーが責任を負います。その代わり、AWSはインフラベースのサービスに対してより多くの可視性と制御を提供します。
例:
- AWSリレーショナルデータベースサービス(RDS)
- AWS Elastic Map Reduce (EMR)
- AWS Elastic Beanstalk
抽象サービス
抽象サービスでは、AWSは、プラットフォームとAWS 独自のネットワークを介したデータ転送のネットワークトラフィック保護の追加管理を提供します。ここでは、ユーザーは、提供されるサービス (プラットフォーム、IAM ユーザー/グループ レベル) の適切なセキュリティと正しいアクセス許可についてのみ主な責任を負います。
例:
- Amazon S3
- Amazon DynamoDB
- Simple Storage Service (S3)
- DynamoDB
- SQS
- Amazon Glacier
これらのモデルの各段階が進むにつれ、指揮・統制が徐々にユーザーからAWSへと移行していきます。
さまざまなアプリケーションの例
AWSと顧客との間の制御分割の例としては、以下のようなものがあります。
継承コントロール
このようなシェアード・コントローラーシップは、AWSからお客様に完全に引き渡されるのでしょうか。
例:データセンターと関連資産の物理・環境制御
共有コントロール
このタイプは、顧客とAWSの両者で共有されるコントローラーシップなのでしょう。?この場合、AWSがコアとなるホスト運用インフラを提供し、ユーザーも独自のゲスト実行を提供します。
例:
カスタマー専用
お客様側の単独制御の種類は、お客様が選択したAWSクラウドサービスによって決定されます。お客様は、アクセス制御のための経路を変更またはフィルタリングすることを選択できます。
例:サービスおよび通信の保護またはゾーンセキュリティ
まとめ
AWS責任共有モデルとは、簡単に説明すると、セキュリティとデータのコンプライアンスを目的に設計された、AWS(プロバイダー)とカスタマー(ユーザー)の責任分担の考え方です。AWSは主に物理的なインフラベースのサービスに責任を持ち、ユーザーは自分で処理したクラウドデータに責任を持ちます。
AWS責任共有モデルの導入により、運用負荷が軽減され、それを理解することで、利用目的に応じて責任範囲をより簡単に決定できるようになります。
より効率的で簡単なAWS責任共有モデルの導入を考えているのであれば、クラウドコンサルティングやソリューションベンダーとして、CMC Japanを選択肢のひとつとして検討してみてはいかがでしょうか。30年の実績と2200人以上のIT専門家をもって、お客様のプロジェクトを支援いたします。
