AWSの責任分解点
AWSはAmazonが提供するクラウドサービスです。知名度が高いため、セキュリティも
万全で何かあればAmazonが責任を取ってくれる!と考えていたら要注意です。
Amazonが公式ページに記載している「責任共有モデル」は以下のとおりです。
以下はAWSの責任範疇となります。
・物理的な施設や設備、セキュリティ
・ハイパーバイザー
・ネットワークインフラ
・仮想インフラ
これはユーザが制御できない物理層および提供しているシステムの機能に限られます。
以下はユーザの責任範疇となります。
・OS
・ネットワーク設定
・アプリケーションやデータの暗号化
・アカウント管理
つまりハイパーバイザーに載せるOSから上位層はすべてユーザの責任範疇です。
また、AWSは仮想サーバ(Amazon EC2)に出入りするパケットをフィルタリングする
機能は提供してくれますが、フィルタリング対象はユーザが責任を持って設計する必要
があります。近年の攻撃は複雑化しており、正常な通信に偽装した攻撃が一般的です。
ユーザが許可したフィルタリングに不正な通信が紛れて攻撃されてもユーザの責任に
なるため注意してください。
仮にAmazon VPCからインターネットに直接接続していなくてもVPN接続している企
業内ネットワークを経由して攻撃される可能性があるため、AWSを含めたクラウドサー
ビスを利用する場合も、オンプレミス環境と同様に多層的なセキュリティ対策を実施す
る必要があります。