责任共有模型

クラウドサービスプロバイダによる責任共有モデル

以下では、代表的なCSPが自社の環境向けにSRMをどう定義しているかを説明します。組織固有のニーズに最も適したプロバイダを見つける上では、こうした情報を必ず知っておく必要があります。

AWS的责任共享模式

このモデルでは、AWSがクラウドのセキュリティに責任を持ち、顧客がクラウドのセキュリティに責任を持つことを示正在做。。 AWS はインフラストラクチャの安全性の維持に責任を持ちますが、 加密 や ID およびアクセス管理 (IAM)、ゲスト OS へのパッチ適用、数据ベースの構成、従業員のサイバーセキュリティ トレーニングなどの IT 制御は顧客側の責任になります。

Microsoft Azureの责任共有模型

このモデルは、オンプレミス数据センターでは顧客がスタック全体を所有しており、顧客がクラウドに移行すると、責任の一部がMicrosoftに移行するというものです。これらの責任範囲は、スタックのデプロイメントのタイプに応じて異なります。

すべてのクラウド展開タイプにおいて、顧客は自分の数据とIDを所有し、こうした数据とID、オンプレミスの资源、管理するクラウドコンポーネントのセキュリティを保護する責任を負います。デプロイメントの種類に関係なく、顧客は常に以下の数据、エンドポイント、アカウント、アクセス管理の責任を負います。

Google Cloud Platform（GCP）の责任共有模型

このモデルは、顧客が使用する各服务と、各服务が提供する構成オプション、Google Cloudによる服务保護の内容について深く理解すること必要であるとしたもので、服务により構成プロファイルが異なり、最適なセキュリティ構成を決定するのが難しい場合もあります。

このモデルでは、顧客が自社のビジネスに必要なセキュリティや規制面での要件に加え、機密数据や资源の保護のための要件を熟知していると捉えられます。GCP（Google Cloud Platform）は、顧客が実質的にGCPに責任を転嫁する権利を購入できる「運命共同体 (shared fate)」という概念も導入正在做。。

クラウドデリバリモデルによる責任共有モデル

其次，用于事业运营云模式的种类がSRMにどう影響するかを見てみましょう。以下に、CSPと顧客の責任範囲を記載します。

ここで重要な点は、下に進むにつれ、CSPが管理する責任範囲が広くなる点です。したがって、顧客の利便性と安心感は高まりますが、カスタマイズの余地は少なくなります。

服务としてのインフラストラクチャ（IaaS）

CSP的责任范围:

• 虚拟化
• 固件
• 硬件

顾客责任范围:

• 用户访问
• 数据
• 機能
• 运行时/应用
• 集装箱
• 操作系统

服务としてのプラットフォーム（PaaS）

CSP的责任范围:

• 集装箱
• 操作系统
• 虚拟化
• 固件
• 硬件
• 运行时/应用（一部）

顾客责任范围:

• 用户访问
• 数据
• 機能
• 运行时/应用（一部）

服务功能(FaaS)

CSP的责任范围:

• 集装箱
• 操作系统
• 虚拟化
• 固件
• 硬件
• 运行时/应用

顾客责任范围:

• 用户访问
• 数据
• 機能

完全にカスタムビルドのオンプレミスインフラストラクチャの場合には、当然ながらユーザーが上記のすべてに責任を負うことになります。

責任共有モデルの実践

SRMに通常含まれる内容をより技術的に要約すれば、クラウド環境で変更、追加、削除、再構成が可能なあらゆる内容については顧客が責任を負うものと言えるでしょう。クラウド運用の側面で顧客が変更できないものに関しては、CSPの側に管理責任がある可能性が高くなります。

ただし、上述のように、重複する領域が存在する可能性もあります。こうしたグレーの領域は共有管理領域とも呼ばれます。運用をできるだけスムーズに実行するには、CSPと顧客の両方がこの領域を詳細に把握しておく必要があります。例えば、AWSの場合、共有管理領域には、补丁管理、コードとしてのインフラストラクチャ（IaC）的设定管理，提高安全意识的训练等等。。こうした領域が「共有」とされる理由はどこにあるのでしょう。

具体的には、AWSはインフラストラクチャ内の欠陥にパッチを適用して修正する責任を負い、顧客はゲスト操作系统とアプリケーションにパッチを適用する責任を負います。同様に、AWSはインフラストラクチャの設定を維持しますが、独自の操作系统、数据ベース、アプリケーションの設定は顧客が責任を負います。

最後に、AWSとそのクラウド顧客の両方が、それぞれの従業員に提高安全意识的训练を提供する義務を負います。こうした共有管理領域を設けることで、CSPと顧客の双方が単独で責任を負う領域を保護する能力を強化することができます。

責任共有モデルのメリット

SRM的优点是向云迁移によってもたらされる利点に沿って明確に定義されています。顧客としてパートナーであるCSPと関わっていくことになるため、信頼できるパートナーを選ぶようにしましょう。

• 可扩展性：顧客は、CSPエコシステムのプラットフォーム内で、特定の時点に必要なだけセキュリティ機能を拡張できます。上述のような大手クラウドプロバイダは、ビジネスの運用ニーズに応じて拡張する能力を本質的に備えています。CSPのセキュリティアーキテクチャは常に、SRMに沿って配置・定義されるため、顧客は必要に応じて独自の数据セキュリティプロトコルを安心して拡張できます。
• 协作：上述のように、SRMによりセキュリティに関する責任が明確になります。こうした責任の分担が顧客のビジネスに利益をもたらします。クラウド運用におけるSRMでは、顧客がオンプレミスの運用機能をゼロから構築する場合に比べて、セキュリティ上の負担が軽減されます。
• 架构方面的优势：定評ある信頼できるCSPとの協業は、プロバイダのクラウド上の数据セキュリティを心配する顧客にとって大きな安心感を与えます。CSPのセキュリティ数据分析技術と強力なアーキテクチャを最大限に活用できることは、SRMの素晴らしい利点と言えます。

責任共有モデルのベストプラクティス

当然ながら、ベストプラクティスは組織固有のニーズによって異なります。以下では、強固なSRMを実現するための一般的なベストプラクティスを紹介します。

• 服务レベル契約（SLA）を締結：SLAは、CSPのセキュリティ業務の性質と、CSPと顧客に対して期待される内容を完全に理解する上で役立ちます。また、CSPが自社組織に対して期待する対応を確認する際にも重要です。
• 把责任委托给CSP：クラウドプロバイダの契約前に十分な下調べを行っていれば、信頼できるプロバイダを選択できているはずです。そうした場合でも、明らかにCSPの管轄下にあるセキュリティ責任を組織が負うことにならないよう、確認と線引きをきちんと行うようにしましょう。
• 确保合规：国や地域で義務付けられた規制、または組織独自のコンプライアンス目標への维持合规するには、責任が曖昧な箇所を残しておくべきではありません。SRMにおける責任の所在を明確にしておくことで、導入予定のCSPとの間で、社内外のコンプライアンスポリシーに関して良好な体制を維持することができます。

读下文

云安全： 最新のRapid7ブログ記事

eBook：AWS上の集装箱化されたアプリをRapid7で強化