責任共有モデルとは?
責任共有モデルとは、ハードウェア、インフラストラクチャ、エンドポイント、データ、構成、設定、オペレーティングシステム (OS)、ネットワーク制御、アクセス権など、クラウド環境のあらゆる側面の保護に関するクラウドサービスプロバイダー (CSP) と顧客の責任を説明するセキュリティとコンプライアンスのフレームワークです。
簡単に説明すると、責任共有モデルは、Amazon Web Service (AWS)、Microsoft Azure、Google Cloud Platform (GCP) などのクラウドプロバイダーがクラウド自体とその基盤となるインフラストラクチャに関連するセキュリティの脅威を監視して対応する必要があることを規定しています。これに対し、個人や企業などのエンドユーザーは、クラウド環境に保存するデータやその他のアセットを保護する責任があります。
残念ながら、この責任共有モデルの概念が誤解を受け、クラウドのワークロードと、ワークロードに関連するあらゆるアプリケーション、データ、アクティビティがクラウドプロバイダーによって完全に保護されているという想定につながることがあります。その結果、ユーザーは自覚がないままに完全に保護されていないワークロードをパブリッククラウドで実行することになり、オペレーティングシステム、データ、アプリケーションを標的にした攻撃に対して脆弱になります。安全に構成されたワークロードでさえ、ゼロデイエクスプロイトに対して脆弱であるため、ランタイムが標的になる可能性があります。
2023年版クラウドリスクレポート
この新しいレポートをダウンロードして、2023年に注意すべきクラウドセキュリティの脅威と、2024年を通じて保護を維持するための最善の対処方法を確認してください。
3つのクラウドサービス提供モデルでの責任共有モデル
次のような3つの主なクラウドサービスモデルがあります。
これらの各クラウド提供モデルは、責任共有の概念の対象になります。ただし、セキュリティタスクと機能の所有権は、使用している提供モデルに応じて異なります。
サービスとしてのソフトウェア (SaaS):SaaSは、サブスクライバーが使用できるクラウドのアプリケーションをベンダーが一元的にホストするソフトウェア提供モデルです。このモデルでは、プロバイダーはアプリケーションセキュリティ、およびそのメンテナンスと管理に対して責任があります。
サービスとしてのプラットフォーム (PaaS):PaaSは、アプリケーションを開発、実行、管理するために購入して使用できるプラットフォーム提供モデルです。クラウドプラットフォームモデルでは、ベンダーはアプリケーション開発者が一般的に使用するハードウェアとソフトウェアの両方を提供します。サービスプロバイダーは、プラットフォームとそのインフラストラクチャのセキュリティにも責任があります。
サービスとしてのインフラストラクチャ (IaaS):IaaSは、ベンダーが仮想化されたサーバー、ストレージ、ネットワーク機器などの幅広いコンピューティングリソースをインターネット経由で提供するインフラストラクチャ提供モデルです。このモデルでは、オペレーティングシステム、アプリケーション、ミドルウェア、コンテナ、ワークロード、データ、コードなど、インフラストラクチャに所有またはインストールするすべてのセキュリティを維持する責任は企業にあります。
| サービスの種類 | ベンダーの責任 | ユーザーの責任 |
|---|---|---|
| SaaS | アプリケーションのセキュリティ | エンドポイント、ユーザー、ネットワークのセキュリティ 設定ミス、ワークロード、データ |
| PaaS | すべてのハードウェアとソフトウェアを含むプラットフォームのセキュリティ | プラットフォーム上で開発されたアプリケーションのセキュリティ エンドポイント、ユーザー、ネットワークのセキュリティ、ワークロード |
| IaaS | すべてのインフラストラクチャコンポーネントのセキュリティ | インフラストラクチャにインストールされたアプリケーションのセキュリティ(例:OS、アプリケーション、ミドルウェア) エンドポイント、ユーザーとネットワークのセキュリティ、ワークロード、データ |
| 要素 | SaaS | PaaS | IaaS |
|---|---|---|---|
| アプリケーションセキュリティ | CSP | ユーザー | ユーザー |
| プラットフォームセキュリティ | CSP | CSP | ユーザー |
| インフラストラクチャ | CSP | ユーザー | CSP |
| エンドポイントセキュリティ | ユーザー | ユーザー | ユーザー |
| データセキュリティ/データ保護 | ユーザー | ユーザー | ユーザー |
| ネットワークセキュリティ | CSP | CSP | ユーザー |
| ユーザーセキュリティ | ユーザー | ユーザー | ユーザー |
| コンテナとクラウドワークロード | ユーザー | ユーザー | ユーザー |
| APIとミドルウェア | CSP | ユーザー | ユーザー |
| コード | ユーザー | ユーザー | ユーザー |
| 仮想化 | CSP | CSP | ユーザー |
責任共有モデルの実施
直接管理
責任共有モデルは、パブリッククラウド環境内の異なる要素のセキュリティ確保において、2つ以上の当事者が役割を担うという考えに基づいていますが、顧客とCSPが同じアセットに対して責任を共有しないことに注意してください。
むしろ、CSPまたは顧客は、サービスモデルのタイプに関係なく、直接管理するすべてのアセットのセキュリティに対して完全な責任を有しています。
例えば、顧客は、従っているモデルがSaaS、PaaS、IaaSモデルかどうかに関係なく、データのセキュリティ、コンプライアンス、アクセスに対して常に責任があります。これは、CSPがパブリッククラウドに保存されているデータを可視化できないため、データのセキュリティやアクセスを効果的に管理できないことが理由です。
顧客は通常、次のことにも責任があります。
- アイデンティティおよびアクセス管理 (IAM)
- ユーザーのセキュリティと認証情報
- エンドポイントセキュリティ
- ネットワークセキュリティ
- ワークロードとコンテナのセキュリティ
- 設定
- APIとミドルウェア
- コード
一方、Amazon、Microsoft、Googleなどのクラウドプロバイダーは、直接管理しているエリアに対して責任があります。これには通常、次のセキュリティが含まれます。
- 物理層とすべての関連するハードウェアとインフラストラクチャ
- 仮想化層
- ネットワーク管理およびプロバイダーサービス
- クラウドリソースを実行している施設
責任の分担
一部のIaaSおよびPaaSモデルでは、クラウドプロバイダーまたはサービスレベル契約 (SLA) に規定されている条件に応じて異なります。
例えば、ファイアウォールなどのネットワーク制御については、クラウドサービスプロバイダーがファイアウォールサービスを提供する責任を有しています。ただし、設定、ルール、モニタリング、応答などのその他すべての側面の管理については、ユーザーに責任があります。両当事者がセキュリティ要素について役割を担いますが、それぞれの責任は明確に定義され、分けられています。
同様に、顧客がCSPが提供するパブリッククラウドのデータストレージサービスを使用している場合、クラウドプロバイダーは、セキュリティ、モニタリング、メンテナンス、更新など、そのクラウドデータセンターのあらゆる側面について責任を負います。ただし、顧客にはクラウド環境内のデータを保護し、許可されたユーザーのみがアクセスできるようにする責任があります。
責任の分担の概念に基づいて、いずれの当事者もそのアセットの保護方法については他の当事者に対して権限を有していません。例えば、顧客はそのCSPをいつどのようにモニタリングしテストするか指示することはできません。つまり、サービス契約は、プロバイダーが顧客を保護するために採用する手順と、そのアクティビティのドキュメントを共有する方法を説明する必要があります。通常、クラウドベンダーは定期的に監査レポートを作成し、その顧客を保護するために必要となる適切な手順が実施されていることを確認します。
責任共有モデルのメリット
責任分担モデルは複雑で、CSPと顧客が慎重に検討し、調整する必要がありますが、このアプローチはいくつかの重要なメリットをユーザーに提供します。以下の内容が含まれます。
- 効率性:責任共有モデルでは、顧客は大きな責任を負っていますが、セキュリティのいくつかの重要な側面(ハードウェア、インフラストラクチャ、仮想化層のセキュリティなど)は多くの場合、CSPにより管理されます。追加のオンプレミスモデルでは、これらの側面は顧客により管理されていました。クラウドに移行することで、ITスタッフはタスクやニーズに専念し、利用可能なリソースと投資をその担当分野に集中させることができます。
- 強化された保護:クラウドサービスプロバイダーは、クラウド環境のセキュリティに極度に集中し、多くの場合、顧客を完全に保護するために多くのリソースを消費しています。サービス契約の一環として、CSPは堅牢なモニタリングとテストに加え、時宜を得たパッチ適用と更新を実施します。
- 専門知識:CSPは多くの場合、クラウドセキュリティの進行分野については、高いレベルの知識と専門知識を有しています。顧客はクラウドベンダーと契約すると、パートナー組織の経験、アセット、リソースからメリットを受けることができます。
ESG調査レポート:DevSecOpsを活用してクラウドネイティブアプリケーションを保護
企業がクラウドネイティブアプリケーションをどのように形成しているのか、どのような課題に直面しているのか、またそのトレンドについて、このESG調査で理解を深めてください。
責任共有モデルのベストプラクティス
多くの組織は、クラウドに移行することで、CSPとの関係を初めて定義します。当社は、企業がこの複雑な作業を実行する際に、次のベストプラクティスを提供します。
- SLAを慎重に検討する。セキュリティの責任は、クラウドモデル、クラウドプロバイダー、およびその他の要素に応じて異なります。組織は、クラウドベンダーのSLAを慎重に調べ、セキュリティの責任を十分に認識していることを確認し、明確にするべき潜在的なグレーゾーンを特定することが重要です。組織は、クラウドプロバイダーを変更したり、新しい提供モデルに移行したりする場合、契約を精査し、変更点を特定する必要があります。SLAがそれまでの契約と非常に類似しているように見えても、文言がわずかに変更されるだけで、組織は深刻なセキュリティリスクにさらされる可能性があります。最終的に、マルチクラウド環境を運用している組織については、SLAの条件はベンダーごとに異なるため、個別に確認することが重要です。これらの契約のわずかな違いを、全体的なクラウドセキュリティ戦略とアーキテクチャに組み込む必要があります。
- データセキュリティに優先順位を付ける。クラウドの顧客は、クラウドに保存されたデータやクラウド内のアプリケーションで生成されたデータに対して常に全責任があります。このため、組織はクラウドベースをデータを保護するために専用に設計された堅牢なデータセキュリティ戦略を開発する必要があります。
- 堅牢なIDとアクセス管理を確実に実行する。クラウドの顧客は、クラウドベースのリソースのアクセス権の定義と、認証ユーザーへのアクセス権の付与についても完全な責任があります。これらの取り組みは、組織の広範なIAMポリシーとソリューションのセットに組み込む必要があります。
- DevSecOpsを活用。DevSecOps(「Development Security and Operations」の略)とは、リリースサイクルの速度に影響を与えることなく、セキュリティの脆弱性を最小限に抑え、コンプライアンスを向上させるために、ソフトウェアやアプリケーションの開発ライフサイクル全体を通じてセキュリティを継続的に統合する手法です。DevSecOpsまたはシフトレフトの考え方は、新しいセキュリティガイドライン、ポリシー、慣行、ツールに必要なコンテナやクラウドを活用するIT組織にとって必要不可欠です。
- 信頼できるサイバーセキュリティパートナーを特定する。クラウドセキュリティは、オンプレミスネットワークのセキュリティ保護とは根本的に異なります。新しいクラウドベースのリスクに対処するためにサイバーセキュリティ戦略とツールセットを更新し適用することは、特に組織がハイブリッドまたはマルチクラウド環境を運用している場合、多大な労力が必要となり、複雑になる可能性があります。サイバーセキュリティパートナーは、組織の内部セキュリティチームがあらゆるクラウドセキュリティの側面(CSPの選択から、その固有のセキュリティの責任の理解、ビジネスを保護するツールやソリューションの展開や統合まで)を管理できるよう支援することができます。
クラウドストライクのFalconクラウドセキュリティソリューション
クラウドストライクは、現代の企業を動かす人、プロセス、テクノロジーを保護し、円滑な機能を可能にする、世界で最も先進的なクラウドネイティブプラットフォームを提供し、セキュリティを再定義してきました。業界では、クラウドストライクはリーダーとして評価され続けています。最近ではCRNにより、2022年のBest Cloud SecurityのTech Innovator Awardの受賞者としてクラウドストライクが選ばれています。
CrowdStrike Falcon®プラットフォームは、CrowdStrike Security Cloudを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。
クラウドストライクのクラウドセキュリティソリューション(AWS、GCP、およびAzureに固有のサービス)の詳細については、下記を参照してください。
