The Shared Responsibility Model

責任共有モデルとは?

責任共有モデルは、クラウドサービスプロバイダー (CSP) と顧客の間のクラウドコンピューティング環境のさまざまな側面のセキュリティ保護の責任者を確立するフレームワーク. CSPは通常、基盤となるインフラストラクチャのセキュリティを担当し、クラウドでホストされるデータとアプリケーションのセキュリティを確保するのは顧客の責任です。

CSP は、次の責任を負います。 データセンターとすべてのネットワーク機器をセキュリティで保護します。また、オペレーティングシステムのパッチ適用や更新、クラウドサービスの可用性と信頼性の確保などのタスクも処理します。これは、 "クラウドのセキュリティ" 責任。

お客様のセキュリティ責任には、次のものが含まれます 安全なアクセス制御の設定転送中および保存中のデータの暗号化、ユーザーアカウントと資格情報の管理、およびアプリケーション固有のセキュリティ対策の実装。これは、 "クラウドのセキュリティ" 責任。

たとえば、CSP である Amazon S3 は、データセンターの物理的なセキュリティを確保し、インフラストラクチャレベルの脅威から保護します。ただし、S3 バケットのアクセス制御とアクセス許可を適切に設定し、機密データの暗号化を実装し、保存されたデータへのアクセスを定期的に監視および管理することは、S3 ユーザーの責任です。

これらの責任は広く理解されていません。 98%の企業が過去18か月以内にクラウドデータ侵害を報告していますが、 13%がクラウドセキュリティの責任を理解している. 多くの組織は、データ保護とアプリケーションセキュリティを誤ってCSPに依存しています。この知識のギャップを埋めることは、クラウドセキュリティの義務を果たすための重要なステップです。

サービスの種類による責任の共有の違い

CSP のお客様の責任共有のレベルは、サービスの種類 (サービスとしてのソフトウェア (SaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのインフラストラクチャ (IaaS) によって異なります。

SaaS モデルでは、 CSP は、ほとんどのセキュリティ責任を負っています。インフラストラクチャやネットワークなどのソフトウェアアプリケーションを保護し、アプリケーションレベルのセキュリティを担当します。多くの場合、お客様の責任には、ユーザーアクセスの管理と、データの保護とアカウントの安全性の確保が含まれます。つまり、顧客はセキュリティ、稼働時間、システムパフォーマンスをクラウドサービスプロバイダーに大きく依存しているのです。

PaaS モデルの場合では、CSP はインフラストラクチャと、ランタイム、ライブラリ、オペレーティングシステムなどの基盤となるプラットフォームコンポーネントを管理します。お客様は、アプリケーション内のデータとユーザーアクセスの開発、保守、管理を担当します。

3機種のうち、 IaaS のお客様 最高レベルの責任を持ちます。 CSPは、仮想マシン、ストレージ、ネットワークなどの基盤インフラストラクチャを保護し、お客様は、オペレーティングシステム、ランタイム、アプリケーション、データなど、インフラストラクチャ上に構築されたすべてのものを保護します。

Source: Center for Internet Security

上記の責任は一般的な概要を示していますが、責任の正確な分担は CSP によって異なります。責任の分散の詳細については、CSP が提供する特定のサービスレベルアグリーメントとドキュメントを参照することをお勧めします。

お客様のクラウドセキュリティの責任

多くの場合、ほとんどのクラウドセキュリティインシデントの責任はCSPではなくお客様が負います。

2025年までに、クラウドセキュリティの失敗の99% は、顧客から来ると予測されています。

責任共有モデルを確実に成功させるために、顧客の責任を見てみましょう。

Customer Responsibility	Description
Data protection	Ensuring data confidentiality, integrity, and availability is the customer’s purview. Best practices involve implementing proper access controls, encryption, and backups.
User access management	Implement appropriate permissions, enforce strong passwords, and adopt multi-factor authentication to keep user access secure.
Application security	Customers are accountable for securing cloud-hosted applications. Follow secure coding practices, conduct regular vulnerability assessments, and implement appropriate security controls to reduce application-level security threats.
Network controls	Firewalls, virtual private networks (VPNs), security groups, and other network-control configurations are essential customer responsibilities that protect cloud resources from unauthorized access.
Compliance and governance	Meeting regulatory requirements and implementing appropriate governance controls are also customer responsibilities. Each industry has unique regulations and frameworks.

CSPの一般的なクラウドセキュリティの責任

CSP の責任分担には、通常、インフラストラクチャのセキュリティとそれに付随する依存関係が含まれます。セキュリティ上の責任には、次のようなものがあります。

CSP Responsibility	Description
Physical security	As previously mentioned, CSPs are responsible for securing physical access to their data centers, using tools like surveillance systems, restricted-access areas, and environmental controls.
Network-infrastructure security	Each provider is responsible for securing cloud-network infrastructure, including routers, switches, and load balancers by implementing appropriate controls, such as intrusion detection and prevention systems.
Host-infrastructure security	CSPs secure underlying host infrastructures, including servers, virtualization layers, and storage systems. They implement proper configuration, patching, and security controls on these resources; update operating systems; and ensure overall availability and reliability of cloud services.
Compliance certifications	CSPs often undergo independent audits and attain certifications to demonstrate compliance with industry standards and regulations. These measures provide customers with assurances regarding their security practices.

責任の重複

一部の責任は、サービスの種類 (SaaS、PaaS、または IaaS) に基づいて両当事者によって共有されます。たとえば、 Microsoft の責任共有モデル、 CSP と SaaS および PaaS のお客様は、ID とディレクトリのインフラストラクチャをセキュリティで保護する責任を共有します。また、アプリケーションのセキュリティとネットワーク制御は、PaaS モデルで共有されます。 CSPは、サービスレベルアグリーメント(SLA)を通じて責任の境界を明確に定義します。重複は、通常、次の領域に存在します。

オペレーティングシステム

ユーザーが独自のオペレーティングシステム (OS) を持ち込む場合でも、クラウドプロバイダーが提供する OS を展開する場合でも、組織のセキュリティ要件を満たす適切な OS を選択する責任はユーザーにあります。ユーザーがCSPのオペレーティングシステムを選択した場合、そのセキュリティはユーザーが担当します。ただし、お客様が独自の OS を持ち込む場合は、その組織がセキュリティに責任を負います。

ネイティブツールとサードパーティツール

プロバイダーは、サービスのデプロイ、管理、保守、および更新を担当します。ただし、サードパーティのツールまたはアプリケーションをワークロードとしてデプロイする場合、お客様はアプリケーションとそのデータをセキュリティで保護する責任を負いますが、CSP'の責任は、インフラストラクチャと仮想化レイヤーに限定されます。

サーバーベースのコンピューティングとサーバーレスコンピューティング

サーバーベースのコンピューティングでは、ユーザーは、オペレーティングシステムの選択、ワークロードのデプロイ、および必要なセキュリティ設定の構成を担当します。一方、サーバーレスまたはイベントベースのコンピューティングでは、ユーザーは、クラウドベンダーが提供するデプロイされたコードとユーザー定義のセキュリティまたは構成オプションに対して責任を負います。

ネットワーク制御

独自のファイアウォールを展開する場合でも、プロバイダーのファイアウォールを使用する場合でも、ファイアウォール規則を構成し、適切なセキュリティ標準構成を確保する責任はお客様の責任です。

Security Leaders Handbook: The Strategic Guide to Cloud Security

Learn the new cloud security operating model and steps towards cloud security maturity. This practical guide helps transform security teams and processes to remove risks and support secure cloud development.

Download Handbook

責任共有モデルの例

Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Azureなどの主要なCSPは、プロバイダーと顧客のセキュリティ責任を概説する独自の責任共有モデルを確立しています。

AWS の責任共有モデル

AWS の責任共有モデルでは、AWS が「インフラストラクチャの保護を担当これにより、AWS クラウドのすべてのサービスが実行されます。」彼らは、物理的なデータセンター、ネットワーク、エッジロケーション、仮想化レイヤーなど、ハードウェアとソフトウェアの両方に責任を負います。

AWS Shared Responsibility Model

AWSは、AWS DynamoDB、RDS、Redshift、Elastic、EMRなどのマネージドサービスも保護しています。ただし、お客様は、独自のアプリケーションとデータを保護し、AWS アカウント内のアクセスコントロールと設定を管理する責任があります。

Connect Wiz with Amazon Web Services (AWS)

Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.

Learn more

GCP の責任共有モデル

Google Cloud Platform(GCP)は、責任の共有と運命の共有モデル。 GCPの導入 '運命を分かち合う' 責任共有モデルでは不十分であると思われる課題に対処するため。

GCP Shared Responsibility Model

GCP は、基盤となるクラウドインフラストラクチャを保護し、アプリケーションとデータの保護、ユーザーアクセスと権限の管理、セキュリティ設定の構成、プロジェクト内での適切なセキュリティ対策の実装の責任を果たすために活用できるアドオンオプションを提供します。

Connect Wiz with Google Cloud (GCP)

Build faster and more securely on Google Cloud Platform with Wiz.

Learn more

Azure の責任共有モデル

Microsoft Azure は、GCP のモデルに似た責任共有モデルを活用しています。

Microsoft's Shared Responsibility Model

マネージドサービスはセキュリティで保護されますが、オンプレミスのデータセンターを運用している場合は、スタック全体を所有してセキュリティで保護します。

Connect Wiz with Azure

Agentless full stack coverage of your Azure workloads in minutes.

Learn more

責任共有モデルの課題

責任共有モデルにはいくつかの利点がありますが、次のような課題もあります。

Challenge	Description
Access control	Organizations must always protect customer data. However, the shared responsibility model requires that CSPs have unguarded access to sensitive infrastructure to evaluate security posture, contradicting an organization’s exclusive access to customer data. This has pushed many organizations into implementing role-based access control (RBAC) to ensure that authorized individuals have access to perform only pre-specified duties.
Vagueness	There are important areas of cloud security where the model does not clearly spell out the security responsibilities of each party. For instance, cloud middleware—which sits between organizations and CSPs for cloud security posture management—requires regular updates as new vulnerabilities continue to surface and attack surfaces expand. However, many organizations are barely aware of the required frequency of updates, and this exposes them to preventable attacks. Automating the software patching process is a viable solution to combat this issue.
Incident management	When cyberattacks occur, identifying which party is responsible for investigation and remediation is critical. Unfortunately, the shared responsibility model does not clearly spell out the delegation of responsibility. Additionally, cyberattacks can be targeted at anyone at either party (customer or CSP), so managing the attack is often slowed down by pinpointing the source and establishing who is responsible for remediation.
Complexity	Organizations offering multiple services often require multiple CSPs and unifying them into a single system may be cumbersome. Moreover, the multi-tiered nature of cloud deployments often necessitates the intervention of multiple departments, adding complexity to the question of who is responsible for what. Even when CSP versus customer responsibilities are clearly spelled out, identifying departments that are responsible for securing specific aspects of the cloud may be difficult.

クラウドの脆弱性に対する共通の対応に関する新しいビジョン

以前のブログで、WizのCTOであるYinon Costica氏は、クラウドの脆弱性に対処するための新しい共有対応モデルの必要性を強調しています。 Yinon は ChaosDB (カオスデータベース) 現在のモデルがなぜ 脆弱性への対応における透明性と明確性に欠けるどっち 混乱を招き、修復作業が効果的でなくなります。

There’s a new middle zone in the cloud shared responsibility model, and vulnerabilities in this gray area have no clear standardized process to handle them

Yinon氏は、CSPと顧客が協力して新しいクラウドの脆弱性に対処する方法について、新しい出発点を提案している。

Areas of Responsibility	CSPs	Customers
Software vulnerabilities	Cloud vulnerability database	Vulnerability management
Cloud features and security configuration	Enumerated cloud security benchmark Threat model change log	Correct cloud configuration

Yinonをチェックしてください'のブログで、上記の各責任の詳細な説明と、この新しいモデルによってCSPと顧客が新しいクラウドの脆弱性により効率的に対応できると考える理由を紹介しています。

Wizブログ

Towards a better cloud vulnerability response model

Wizで責任共有をシンプルに

クラウドサービスプロバイダーとその顧客には、それぞれ特定のクラウドセキュリティの責任がありますが、境界をナビゲートし、誰が何に責任を持つかを判断するのは難しい場合があります。主要なCSPは、お客様がこれらの責任についてさらに学び、クラウドセキュリティ.

WizはCSPとシームレスに統合し、クラウド環境のセキュリティ状態を完全に可視化します。デモのスケジュール今日。

See Wiz In Action

Learn why CISOs at the fastest growing enterprises secure their cloud with Wiz.

デモを見る