【AWSの基礎知識】「責任共有モデル」って何?セキュリティを“Amazonに一任”はダメな理由を解説!
「AWSのセキュリティって、AWSが全部守ってくれるんじゃないの?」
「クラウドサービスだから、セキュリティはAWS側が面倒を見てくれる」
そう思っていた場合、知っておいてほしいことがあります。AWSには「AWSが守る部分」と「自社が守る部分」が最初から決まっていて、設定ミスによる情報漏えいは、「自社が守る部分」の管理不足から起きます。
自社が担う責任範囲は、思っているより広い。
その具体的な中身と、「どこまでやれば十分か」の判断基準を、この記事で整理します。
- AWSの責任共有モデルのしくみ(AWSと自社の分担)
- AWSが守るインフラの範囲とその具体例
- 自社が管理すべき設定・データ・アクセス権限
- 「どこまでやれば十分か」の判断基準
みらいと
セキュリティサービス事業部 コンサルタント/プログラマーからシステム運用を経て情報セキュリティ全般の業務に従事。現在は培った情報セキュリティの経験を活かしお客様の課題に向き合った企画やマーケティングを担当。
目次
そもそも:AWS(Amazon Web Service)とは?

AWS(Amazon Web Services)は、Amazonが運営するクラウドサービスです。
サーバーやデータの置き場所をインターネット越しに借りて使える仕組みで、自社でサーバーを購入・設置する必要がありません。
「借りる」ということは、管理の一部を自社が担うことでもあります。
その「責任分担」の仕組みが、責任共有モデルの核心になります。
「責任共有モデル」って何?

責任共有モデルとは、「AWSが守る部分」と「自社が守る部分」をあらかじめ決めておく仕組みです。
これは「家のセキュリティ」に置き換えるとわかりやすいのですが、たとえば、家に泥棒が入ったとき、「鍵をかけ忘れていた」なら自分の責任、「鍵が壊れていた」なら鍵屋・管理会社の責任。AWSのセキュリティも、これとまったく同じ構造です。
AWSが守る部分:物理サーバーなどのインフラの管理
AWSが担うのは「クラウドそのもののセキュリティ(Security OF the cloud)」、つまりサービスを動かすインフラ全体の保護です。
具体的には、次の3点です。
- サーバーが設置された施設の物理的な防犯・管理
- サーバー本体や通信機器の保守・管理
- サービス全体を動かす基盤の運用・維持
家の例に当てはめると、「建物の構造そのものや、管理会社が設置したエントランスの鍵」に相当します。
サーバーや設備側のトラブルはAWSの責任です。
ただし、「AWSが守っている=全部守られている」ではありません。建物を管理するのは管理会社でも、部屋の鍵をかけるのは住人です。
自社が守る部分:設定・データ・アクセス権限の管理
自社(利用者)が担うのは「クラウドの中のセキュリティ(Security IN the cloud)」です。
AWSのサービスを使うことで生じる設定・データ・アクセス権限の管理が、自社の責任範囲になります。
家の例で言えば「部屋の鍵をかけているか、貴重品を金庫に入れているか、来客の出入りを管理しているか」に相当します。
自社が管理すべき具体的な範囲は、次のとおりです。
- 誰がAWSのどの機能を使えるかの設定管理(IAM/アクセス権限)
- データの暗号化と、ファイルの公開・非公開の設定
- 外部からの不正アクセスを防ぐネットワーク設定
- サーバーOSやアプリへのセキュリティアップデートの適用
こうした設定操作はすべて「利用者側が行うもの」なので、AWSではなく自社の責任です。
| 区分 | AWSが守るもの | 自社が守るもの |
|---|---|---|
| 設備・インフラ | 施設の防犯管理・機器の保守 | サーバーOSやアプリのアップデート適用 |
| ネットワーク | AWSのネットワーク基盤の管理 | 外部からの不正アクセスを防ぐネットワーク設定 |
| アクセス | AWSインフラへのアクセス管理 | 誰がどの機能を使えるかの設定管理(IAM) |
| データ | データを格納するインフラの保護 | データの暗号化とファイルの公開・非公開の設定 |
AWSの「設定確認」はどこまでやれば十分?

家のセキュリティも「窓を二重にする・センサーをつける・防犯カメラを増やす」とやり始めたらきりがありませんよね…。これはAWSも同じです。
アクセス権限の設定、データの暗号化、操作ログの取得、監視、多要素認証。
自社が担う管理項目を全部やろうとすると、どこまでやればよいのか判断がつかなくなります。
どこかで「ここまでやれば十分」という線を引く必要がありますが、その基準を自社の感覚だけで決めるのは難しい。判断基準が外から見えにくいのが難しいところです。
迷ったら専門家に「AWS設定確認」を依頼できる!
「鍵のかけ方はわかった。でも、ちゃんとかかっているかどうかは自分では確認しにくい。」この状態を解消するのが、専門家によるクラウド設定レビューです。
専門家が使う確認基準のひとつが、CIS Benchmarks(国際的なセキュリティ基準)で、自社の感覚ではなく、業界の判断基準に照らして「今の設定で十分かどうか」を評価できます。
自社だけでは引きにくい線引きを、外部基準で確認できる点に意味があります。
私たちIFT(アイ・エフ・ティ)のクラウド設定レビューは、このCIS Benchmarksをベースに、専門のエンジニアがAWSの設定状況を確認するサービスです。設定変更は行わず「見るだけ」なので業務への影響もありません。
確認後は、改善すべき箇所と改善方法をわかりやすくレポートにまとめてお渡しします。
まずは無料相談をご利用ください。
まとめ:AWSの責任範囲を把握したら、設定レビューから始めよう!
AWSの責任共有モデルとは、AWSと自社がセキュリティの担当をわける仕組みです。
AWSが守るのはインフラ、自社が守るのは設定・権限・データ保護。
この記事のポイント
- AWSが守るのは物理インフラのみ。設定・権限・データ保護はすべて自社の責任
- 設定ミスによる情報漏えいは、自社の管理不足から起きる
- 「どこまでやれば十分か」は専門家がCIS Benchmarksなど業界基準をもとに判断する
自社の設定状況を確認したい場合は、IFT(アイ・エフ・ティ)のクラウド設定レビューをご検討ください。
設定変更なし・業務影響ゼロ。お気軽にご相談ください。