クラウド共有責任モデルは、クラウドセキュリティにおける重要な概念です。本ガイドでは、クラウドベースのリソースのセキュリティを確保するためのクラウドプロバイダーと顧客の役割と責任について、このモデルを包括的に解説します。
物理インフラストラクチャ、ネットワーク制御、アプリケーションレベルのセキュリティなど、責任分担モデルの異なる層について学びましょう。
クラウド共有責任モデルにおいて顧客が対処すべき主要なセキュリティリスク
組織が自社のビジネスにおけるクラウドセキュリティを評価する際、経営幹部と技術責任者は、クラウド共有責任モデル内で自組織と顧客が直面するリスクを考慮すべきです。これらのリスクは以下のトピックに分類できます:
- 不正アクセス — 組織は、機密データやアプリケーションへの不正アクセスを防ぐため、強力な認証とアクセス制御を確保する必要があります。これには、ユーザー ID の管理、強力なパスワードと多要素認証の実施、ユーザーの役割と権限に基づく機密データおよびアプリケーションへのアクセス制限が含まれます。
- データ侵害 – 適切な暗号化とデータ保護メカニズムを確保することで、組織は保存中および転送中のデータを保護することができます。これには、堅牢な暗号化アルゴリズムの使用、安全なデータ転送プロトコルの実装、異常なデータアクセスパターンやアクティビティの監視などが含まれます。
- マルウェアとウイルス – マルウェアやウイルスは、電子メールの添付ファイル、ソフトウェアのダウンロード、侵害されたエンドポイントなど、さまざまな手段を通じてクラウド環境に感染する可能性があります。組織は、適切なウイルス対策およびマルウェア対策に投資し、脆弱性を防ぐために定期的なソフトウェアの更新とパッチ適用を行う必要があります。
- 内部からの脅威 –内部脅威、クラウドリソースへのアクセス権限を持つ従業員や契約業者など、内部関係者による脅威は重大なセキュリティリスクとなり得ます。適切なアクセス制御と監視メカニズムを導入することで、内部脅威の検知と防止が可能です。これにはユーザー活動の監視、データ漏洩防止(DLP)対策の実施、定期的なセキュリティ監査と評価の実施などが含まれます。
- コンプライアンス違反 – クラウド利用者は、コンプライアンス規制を理解し、遵守する必要があります。これにはHIPAA、PCI-DSS、GDPRなどの規制が含まれます。これらの規制枠組みのもと、組織はクラウド環境がセキュリティおよびプライバシー基準を満たし、適切なデータ管理・保持ポリシーを有していることを法的に保証する義務があります。
こうしたセキュリティリスクに対処することで、顧客は規制要件を遵守し、機密データやアプリケーションを保護しながら、クラウド環境のセキュリティと信頼性を確保できます。
クラウド共有責任モデルの重要性の定義
クラウド共有責任モデルは、クラウドサービスプロバイダーと顧客双方の責任を明確化する重要な概念です。このモデルはクラウドセキュリティにおいて、クラウドサービスプロバイダーと顧客双方の責任を明確化する重要な概念です。このモデルは、双方がクラウド資産の保護における役割を理解し、混乱や誤解を防ぐことを保証します。
このモデルでは、クラウド環境の保護と管理に関する責任が明確に定義されています:
- クラウドサービスプロバイダーは、物理的なデータセンター、ネットワーク、サーバーハードウェアを含むクラウドインフラストラクチャの保護について一般的に責任を負います。
- 顧客は、クラウドインフラ上で動作するアプリケーション、データ、オペレーティングシステムのセキュリティ確保に責任を負います。
クラウド共有責任モデルは、誰が何を担当するかを明確にし、包括的かつ効果的なクラウドセキュリティを確保するため、クラウドセキュリティにおいて極めて重要です。このモデルが確立されていない場合、クラウドセキュリティの責任の所在を関係者が判断することは非常に困難であり、セキュリティ対策のカバー範囲にギャップが生じたり、作業の重複が発生したりする結果となります。
CNAPPマーケットガイドクラウド共有責任モデルに関するよくある質問
クラウド共有責任モデルは、クラウドサービス利用時にセキュリティ上の責任を誰が担うかを定めたものです。プロバイダーは物理的なデータセンター、ネットワーク、仮想化レイヤーのセキュリティを確保し、お客様はクラウド上に構築・保存するすべて(オペレーティングシステム、アプリケーション、データ)を管理します。この役割分担により、各々が管理対象に集中でき、クラウド環境の安全性と信頼性が維持されます。
役割を明確にすることで双方の責任が明確になり、セキュリティの隙間を防ぎます。これを怠ると、データ暗号化やアクセス制御がプロバイダーの責任だと誤解したり、逆に自社の責任であるべきものをプロバイダーに委ねたりする可能性があります。境界を定義することで、見落としを防ぎ、重複作業を削減し、各セキュリティ対策で誰が行動すべきかを明確に示すことで監査を円滑にします。
クラウドプロバイダーはインフラストラクチャスタックを管理します。物理データセンター(電力、冷却、建物)のセキュリティ確保、ファイアウォールや侵入検知システムなどのネットワーク防御の管理、サーバーやハイパーバイザーの保守・パッチ適用、ハードウェアの高可用性の確保を行います。
また、業界認証(ISO 27001、SOC 2)を満たし、基盤となるクラウドプラットフォームのコンプライアンスを証明します。
顧客の責任範囲は、IaaS、PaaS、SaaSで異なります。IaaSでは、生のコンピューティングリソースをレンタルするため、OS、ミドルウェア、アプリケーション、データのセキュリティを確保する必要があります。PaaSでは管理された実行環境が提供されるため、コードと設定に集中でき、プロバイダーがOSとプラットフォームの更新を担当します。
SaaSではほとんどの責任がベンダーに移行します。アプリケーションの設定と使用のみを行い、基盤となるすべてはベンダーが保護します。
責任範囲は通常、以下の3つの層に分類されます:
- インフラストラクチャ層:プロバイダーが保護するハードウェア、仮想化、ネットワーク機器。これらのシステム上のデータはお客様が保護します。
- プラットフォーム層: プロバイダーがパッチ適用および設定を行うオペレーティングシステム、ランタイム、データベース。アプリケーションとその設定はお客様がロックダウンします。
- アプリケーション層:アプリケーションコード、アクセス制御、データ暗号化はお客様が管理します。プロバイダーはカスタムロジックやビジネスデータを保護しません。
SentinelOneのSingularity™ Cloud Securityは、クラウドワークロード全体にわたるリアルタイムの可視性と自動化された制御を提供することで、責任分担を徹底します。CSPM(ポスチャーチェック)、CWPP(ワークロード保護)、CIEM(権限管理)、IaCスキャン、ワンクリック修復を統合しています。
AI 駆動の脅威検出とポリシー適用がすべての層をカバーするため、設定ミスを発見し、暗号化を適用し、脅威がクラウドリソースに影響を与える前に隔離することができます。
