助け合いフォーラム
AWS クラウドプラクティショナー(CLF-C02)
問題ID : 39861
問題を開く
ある企業は、EC2インスタンスのセキュリティを強化し、システムの運用におけるリスクを最小限に抑えたいと考えている。AWSの責任共有モデルによれば、ユーザーの責任はどのタスクか。(2つ選択)
正解
アカウントのアクセス権限を管理し、パスワードポリシーを設定する
EC2インスタンスのOSにセキュリティパッチを適用する
解説
AWSのセキュリティの考え方は、セキュリティ対策の責任をAWSとユーザーで分担する「責任共有モデル」です。
責任共有モデルは、AWSが提供するサービスの範囲はAWSがセキュリティ対策の責任を持ち、サービスを利用する上でユーザーが設定・変更できる範囲はユーザーがセキュリティ対策の責任を持って管理するモデルです。
下記はユーザーが責任を持って管理するものの例です。
- AWSサービスを利用するにあたって作成した認証情報
- AWSサービスへのアクセス権限
- AWSサービス上のユーザーデータやログ
- ゲストOSのパッチ適用、セキュリティ対策
ユーザーは、EC2サービスへのアクセス権限と、EC2インスタンスのOSのパッチ適用およびセキュリティ対策に関して、ユーザー自身が責任を持って管理する必要があります。本設問の「アカウントのアクセス権限を管理し、パスワードポリシーを設定する」作業はAWSサービスへのアクセス権限管理に該当し、「EC2インスタンスのOSにセキュリティパッチを適用する」作業はゲストOSのセキュリティ対策に該当するので、どちらもユーザー側の責任範囲です。
したがって正解は
・アカウントのアクセス権限を管理し、パスワードポリシーを設定する
・EC2インスタンスのOSにセキュリティパッチを適用する
です。
[責任共有モデルのイメージ]
その他の選択肢については、AWS側の責任なので誤りです。
・EC2インスタンスの物理的なセキュリティを管理する
・EC2インスタンスのハードウェア障害を修復する
・EC2インスタンスを実行するホストOSのメンテナンスとパッチ適用を行う
責任共有モデルは、AWSが提供するサービスの範囲はAWSがセキュリティ対策の責任を持ち、サービスを利用する上でユーザーが設定・変更できる範囲はユーザーがセキュリティ対策の責任を持って管理するモデルです。
下記はユーザーが責任を持って管理するものの例です。
- AWSサービスを利用するにあたって作成した認証情報
- AWSサービスへのアクセス権限
- AWSサービス上のユーザーデータやログ
- ゲストOSのパッチ適用、セキュリティ対策
ユーザーは、EC2サービスへのアクセス権限と、EC2インスタンスのOSのパッチ適用およびセキュリティ対策に関して、ユーザー自身が責任を持って管理する必要があります。本設問の「アカウントのアクセス権限を管理し、パスワードポリシーを設定する」作業はAWSサービスへのアクセス権限管理に該当し、「EC2インスタンスのOSにセキュリティパッチを適用する」作業はゲストOSのセキュリティ対策に該当するので、どちらもユーザー側の責任範囲です。
したがって正解は
・アカウントのアクセス権限を管理し、パスワードポリシーを設定する
・EC2インスタンスのOSにセキュリティパッチを適用する
です。
[責任共有モデルのイメージ]
その他の選択肢については、AWS側の責任なので誤りです。
・EC2インスタンスの物理的なセキュリティを管理する
・EC2インスタンスのハードウェア障害を修復する
・EC2インスタンスを実行するホストOSのメンテナンスとパッチ適用を行う
参考
【責任共有モデル】
AWSのセキュリティの考え方は、セキュリティ対策の責任をAWSとユーザーで分担する「責任共有モデル」です。
AWSとユーザーの責任範囲は、ユーザーが利用するAWSクラウドサービスに応じて変わります。AWSが提供するクラウドサービスの範囲はAWSがセキュリティ対策の責任を持ち、クラウドサービスを利用する上でユーザーが設定・変更できる範囲はユーザーがセキュリティ対策の責任を持ちます。
[責任共有モデルのイメージ]
具体的な例としては、以下のようなものが挙げられます。
〇AWSが責任を持って管理するもの
・AWSのサービスが稼働するハードウェアのセキュリティ対策
・AWSのサービスが稼働するデータセンターのセキュリティ対策
・ハイパーバイザー(ホストOS)※のパッチ適用、セキュリティ対策
※「ハイパーバイザー(ホストOS)」とは、仮想化環境を実現するための土台となる仮想化ソフトウェアやOSのことです。また、ハイパーバイザーなどの仮想環境上で動作するOSのことを「ゲストOS」といいます。
〇ユーザーが責任を持って管理するもの
・AWSサービスを利用するにあたって作成した認証情報
・AWSサービスへのアクセス権限
・AWSサービス上のユーザーデータやログ
・ゲストOSのパッチ適用、セキュリティ対策
【IT統制】
AWSの責任共有モデルは、IT統制にも適用されます。ここでいう「統制」とは、IT環境やセキュリティを管理・監視するためのプロセスや方法を意味します。AWSとユーザーは、それぞれ異なる責任を持ち、協力して統制を行います。この責任共有モデルに基づき、IT統制の管理や運用、検証は、ユーザーとAWSが一緒に行います。
[IT統制のイメージ]
■継承される統制
継承される統制とは、AWSが提供するインフラストラクチャやサービスに関する統制のうち、ユーザーが完全に引き継ぐ統制のことです。AWSは物理的なインフラや環境の管理を担当し、ユーザーはそれに関連する統制を引き継ぎます。AWSが提供するインフラ上でのセキュリティやコンプライアンスの統制を、ユーザーは自社のニーズに合わせて利用できます。具体的な例は以下の通りです。
- 物理統制:AWSは自社のデータセンターにおける物理的なセキュリティを管理します。例えば、データセンターへのアクセス管理や、物理的な侵入防止策(監視カメラやアクセス制限など)が含まれます。一方、ユーザーは、AWSのサービスを利用するために必要な認証情報(IAMユーザー、IAMロールなど)を安全に管理し、多要素認証を設定するなど、自身のアカウントへのアクセスを保護する責任があります。
- 環境統制:AWSはデータセンター内での温度管理や電力供給、冷却システムの監視を行います。一方、ユーザーは、データを保存する際に適切なセキュリティ手法を使用し、暗号化やデタアクセス制御を実施して、データ自体を保護する責任があります。
■共有統制
共有統制とは、AWSとユーザーがそれぞれの役割に基づいて分担して管理する統制です。インフラストラクチャの管理に関してはAWSが責任を負い、ユーザーはその上でサービスを利用するための管理を行います。具体的な例は以下の通りです。
- パッチ管理:AWSはインフラストラクチャのパッチ適用を担当し、ユーザーはゲストOSやアプリケーションのパッチ適用を担当します。
- 構成管理:AWSはインフラストラクチャの構成管理を行い、ユーザーはゲストOSやアプリケーションの構成に責任を負います。
- 意識とトレーニング:AWSはAWS従業員に対してセキュリティトレーニングを提供し、ユーザーは自社従業員へセキュリティトレーニングを実施する責任を負います。
■ユーザー固有の統制
特定のセキュリティ要件に基づき、ユーザーが完全に管理する統制です。例えば、ユーザーが自社のセキュリティ要件に従い、データを特定のセキュリティ環境内でルーティングまたは区分けする必要がある場合、これらの統制はユーザーの責任となります。
AWSのセキュリティの考え方は、セキュリティ対策の責任をAWSとユーザーで分担する「責任共有モデル」です。
AWSとユーザーの責任範囲は、ユーザーが利用するAWSクラウドサービスに応じて変わります。AWSが提供するクラウドサービスの範囲はAWSがセキュリティ対策の責任を持ち、クラウドサービスを利用する上でユーザーが設定・変更できる範囲はユーザーがセキュリティ対策の責任を持ちます。
[責任共有モデルのイメージ]
具体的な例としては、以下のようなものが挙げられます。
〇AWSが責任を持って管理するもの
・AWSのサービスが稼働するハードウェアのセキュリティ対策
・AWSのサービスが稼働するデータセンターのセキュリティ対策
・ハイパーバイザー(ホストOS)※のパッチ適用、セキュリティ対策
※「ハイパーバイザー(ホストOS)」とは、仮想化環境を実現するための土台となる仮想化ソフトウェアやOSのことです。また、ハイパーバイザーなどの仮想環境上で動作するOSのことを「ゲストOS」といいます。
〇ユーザーが責任を持って管理するもの
・AWSサービスを利用するにあたって作成した認証情報
・AWSサービスへのアクセス権限
・AWSサービス上のユーザーデータやログ
・ゲストOSのパッチ適用、セキュリティ対策
【IT統制】
AWSの責任共有モデルは、IT統制にも適用されます。ここでいう「統制」とは、IT環境やセキュリティを管理・監視するためのプロセスや方法を意味します。AWSとユーザーは、それぞれ異なる責任を持ち、協力して統制を行います。この責任共有モデルに基づき、IT統制の管理や運用、検証は、ユーザーとAWSが一緒に行います。
[IT統制のイメージ]
■継承される統制
継承される統制とは、AWSが提供するインフラストラクチャやサービスに関する統制のうち、ユーザーが完全に引き継ぐ統制のことです。AWSは物理的なインフラや環境の管理を担当し、ユーザーはそれに関連する統制を引き継ぎます。AWSが提供するインフラ上でのセキュリティやコンプライアンスの統制を、ユーザーは自社のニーズに合わせて利用できます。具体的な例は以下の通りです。
- 物理統制:AWSは自社のデータセンターにおける物理的なセキュリティを管理します。例えば、データセンターへのアクセス管理や、物理的な侵入防止策(監視カメラやアクセス制限など)が含まれます。一方、ユーザーは、AWSのサービスを利用するために必要な認証情報(IAMユーザー、IAMロールなど)を安全に管理し、多要素認証を設定するなど、自身のアカウントへのアクセスを保護する責任があります。
- 環境統制:AWSはデータセンター内での温度管理や電力供給、冷却システムの監視を行います。一方、ユーザーは、データを保存する際に適切なセキュリティ手法を使用し、暗号化やデタアクセス制御を実施して、データ自体を保護する責任があります。
■共有統制
共有統制とは、AWSとユーザーがそれぞれの役割に基づいて分担して管理する統制です。インフラストラクチャの管理に関してはAWSが責任を負い、ユーザーはその上でサービスを利用するための管理を行います。具体的な例は以下の通りです。
- パッチ管理:AWSはインフラストラクチャのパッチ適用を担当し、ユーザーはゲストOSやアプリケーションのパッチ適用を担当します。
- 構成管理:AWSはインフラストラクチャの構成管理を行い、ユーザーはゲストOSやアプリケーションの構成に責任を負います。
- 意識とトレーニング:AWSはAWS従業員に対してセキュリティトレーニングを提供し、ユーザーは自社従業員へセキュリティトレーニングを実施する責任を負います。
■ユーザー固有の統制
特定のセキュリティ要件に基づき、ユーザーが完全に管理する統制です。例えば、ユーザーが自社のセキュリティ要件に従い、データを特定のセキュリティ環境内でルーティングまたは区分けする必要がある場合、これらの統制はユーザーの責任となります。
責任共有モデル
投稿日 2025/06/26
解答が2つ用意されているが、問題文には複数解答させる旨の記載が無い。
~問題文~
ある企業は、EC2インスタンスのセキュリティを強化し、システムの運用におけるリスクを最小限に抑えたいと考えている。AWSの責任共有モデルによれば、ユーザーの責任はどのタスクか。
スタッフからの返信
この投稿に対して返信しませんか?
s staff_sohi
2025/06/30 10:35
veronimo1様 ご指摘の点を修正いたしました。 ご報告いただきまして、誠にありがとうございます。