翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
責任共有
セキュリティとコンプライアンスは、 AWS とお客様の責任を共有します。この共有モデルは、ホストオペレーティングシステムと仮想化レイヤーから、サービスが動作する施設の物理的なセキュリティまで、コンポーネントの AWS 運用、管理、制御に伴うお客様の運用上の負担を軽減するのに役立ちます。お客様は、 AWS が提供するセキュリティグループのファイアウォール設定に加えて、ゲストオペレーティングシステム (更新やセキュリティパッチを含む) およびその他の関連アプリケーションソフトウェアを管理し、責任を負うものとします。お客様の責任範囲は、使用するサービス、IT 環境へのサービス統合、適用される法規制に応じて異なります。このため、お客様は選択するサービスを注意深く検討する必要があります。この責任共有モデルの性質によって柔軟性が得られ、お客様はデプロイを統制できます。下図に示すように、この責任分担は一般的に、クラウド「の」セキュリティと、クラウド「内の」セキュリティと呼ばれます。
AWS 責任「クラウドのセキュリティ」 — クラウドで AWS 提供されるすべてのサービスを実行するインフラストラクチャを保護する AWS 責任があります。このインフラストラクチャは、 AWS クラウドサービスを実行するハードウェア、ソフトウェア、ネットワーク、および施設で構成されます。
お客様の責任「クラウドのセキュリティ」 — お客様の責任は、お客様が選択した AWS クラウドサービスによって決定されます。これにより、お客様がセキュリティの責任の一部として実行する必要がある設定作業の量が決まります。例えば、Amazon Elastic Compute Cloud (Amazon EC2) などのサービスは Infrastructure as a Service (IaaS ) に分類されるため、お客様は必要なセキュリティ設定および管理タスクをすべて実行する必要があります。Amazon EC2インスタンスをデプロイするお客様は、ゲストオペレーティングシステム (更新プログラムとセキュリティパッチを含む)、インスタンスにお客様がインストールしたアプリケーションソフトウェアまたはユーティリティ、および各インスタンスの AWSが提供するファイアウォール (セキュリティグループと呼ばれる) の設定を管理する責任があります。Amazon S3 や Amazon DynamoDB などの抽象化されたサービスの場合、 はインフラストラクチャレイヤー、オペレーティングシステム、プラットフォーム AWS を操作し、顧客はエンドポイントにアクセスしてデータを保存および取得します。お客様は、データ (暗号化オプションを含む) の管理、アセットの分類、IAMツールを使用した適切なアクセス許可の適用を担当します。
図 1: 責任 AWS 共有モデル。
この顧客/AWS 責任共有モデルは、IT コントロールにも適用されます。IT 環境を運用する責任が AWS とその顧客の間で共有されているのと同様に、IT コントロールの管理、運用、検証も共有されています。 AWS は、以前に顧客が管理していた可能性のある AWS 環境にデプロイされた物理インフラストラクチャに関連するコントロールを管理することで、運用コントロールの顧客の負担を軽減できます。すべての顧客が で異なる方法でデプロイされるため AWS、特定の IT コントロールの管理を に移行することで AWS、 (新しい) 分散制御環境を実現できます。その後、お客様は利用可能な AWS コントロールとコンプライアンスのドキュメントを使用して、必要に応じてコントロールの評価と検証の手順を実行できます。以下は AWS、、 AWS 顧客、またはその両方によって管理されるコントロールの例です。
継承されたコントロール – 顧客が から完全に継承するコントロール AWS。
-
物理統制と環境統制
共有された統制 – インフラストラクチャレイヤーとお客様のレイヤーの両方に適用される統制。ただしコンテキストまたは観点は異なります。共有コントロールでは、 はインフラストラクチャの要件 AWS を提供し、お客様は AWS サービスの使用中に独自のコントロール実装を提供する必要があります。その例を以下に示します。
-
パッチ管理 – インフラストラクチャ内の欠陥のパッチ適用と修正 AWS を担当しますが、お客様はゲストオペレーティングシステムとアプリケーションのパッチ適用を担当します。
-
設定管理 – インフラストラクチャデバイスの設定は AWS 維持されますが、お客様は独自のゲストオペレーティングシステム、データベース、アプリケーションを設定する責任があります。
-
意識向上とトレーニング – は AWS 従業員 AWS をトレーニングしますが、お客様は自分の従業員をトレーニングする必要があります。
お客様固有 – AWS サービス内にデプロイしているアプリケーションに基づいて、お客様が単独で責任を負う統制。その例を以下に示します。
サービスと通信の保護、またはゾーンセキュリティでは、お客様が特定のセキュリティ環境下で、データのルーティングやゾーニングを行わなければならない場合があります。