MAGAZINE

キャリテク!マガジン

コラム

クラウドエンジニアことはじめ - 責任共有モデルを理解しよう

こんにちは。株式会社パイプラインの濱田です。

前回はクラウドの種類「IaaS」「PaaS」「SaaS」の違いについて取り上げましたが、今回はクラウド提供事業者と利用者の責任分界点、責任共有モデルについて取り上げます。

責任分界点とは

責任分界点という言葉そのものは、クラウドやインターネットが登場する以前より、電気、電話、ガス、水道など、インフラ提供事業者が所有・管理する設備と利用者が所有・管理する設備とが接続されている場合において、その接点を指す言葉として使われてきました。

例えば固定電話で、かつ内線がある企業の電話の場合、2階にいるAさんが3階にいるBさんに内線をかけようとして(断線などが原因で)繋がらなかった場合、これは企業内の障害として、電話利用者である企業の責任において対応にあたる必要があります。一方で、内線通話は問題なくできるのに外線発着信ができないといった例ですと、少なくとも内線設備に故障はなさそうという切り分けができます。故障原因が責任分界点よりも物理的に電話事業者側に位置している場合、これは電話事業者の責任において対応しなければなりません。

インターネット接続における責任分界点は、ネットワークの階層によって異なります。物理層、例えばイーサネットケーブルやWi-Fiそのものに障害が発生した場合、WEBサーバーに接続できなかったからといってWEBサーバーの管理者にクレームを入れるのは筋が違ってしまいます。あくまでWEBサーバーに接続できなかったのは障害発生を検知した契機であって、必ずしも障害被疑部位とイコールではないからです。

クラウドにおける責任分界点を一言で表すのは厳密には難しいのですが、大雑把に表現しますと、クラウド提供事業者の権限がないと操作できない箇所であるか、ユーザーによって操作可能な箇所であるかどうかが1つの判断基準となります。詳細は、責任共有モデルの章で解説します。

責任共有モデルとは

クラウドにおける責任共有モデルとは、機能要件・非機能要件における機密性、完全性、可用性について、クラウド提供事業者と利用者のそれぞれが分担する役割を明確化したものになります。

例えば、IaaSの場合、仮想マシンインスタンスを起動するまでのOSやミドルウェアのパッチ適用はクラウド提供事業者の責任ですが、仮想マシン起動後は利用者がroot権限を持つので、パッチ適用やID管理、仮想マシン上に存在するデータ保護は利用者の責任になります。PaaS基盤やSaaS基盤の場合、そもそも利用者がOSの存在を意識することはなく、そもそも利用者がOSにアクセスできないので、OSやミドルウェアのパッチ適用はクラウド提供事業者の責任になりますが、基盤上に作成したユーザーIDの管理や保存されたデータについては、利用者の責任になります。

もう少し簡潔に表現すると、クラウド基盤そのものの責任についてはクラウド提供事業者が、クラウド内でユーザーが利用可能な機能を使用した(しなかった)ことについての責任は利用者が負うことになります。

上記の図はAWSにおける責任共有モデルを表現したもの ( 責任共有モデル | AWS https://aws.amazon.com/jp/compliance/shared-responsibility-model/ より引用 ) になります。クラウド提供事業者がコントロールできる ( するべき ) 部分とユーザーが利用可能な部分のイメージがつきやすいかと思います。

上記の図はMicrosoft Azureにおける責任共有モデルを表現したもの ( クラウドにおける共同責任 - Microsoft Azure https://docs.microsoft.com/ja-jp/azure/security/fundamentals/shared-responsibility より引用 ) になります。こちらはそれぞれのレイヤーとSaaS、PaaS、IaaS、オンプレミスごとに責任分界点が色分けされており、責任分界点がよりイメージしやすくなっています。

さて、これまで3回にわたって

  • クラウドとは (オンプレミスとクラウドとの対比)
  • 仮想化とクラウドとの違い
  • クラウドの分類 (SaaS PaaS IaaS)と責任共有モデル

について取り上げ、クラウドとは何かについて概要を説明してきました。次回より、少し踏み込んでクラウドの利用方法について取り上げていきたいと思います。

まずはエンジニアデビューしたい、という方は、3ヶ月間学びながらお給料が貰える AltX キャリテク!の門を叩いてみてはいかがでしょう。
https://www.kcct.co.jp/careetec/

関連記事

過去の連載記事

  1. 障害対応に強くなろう (1) サービスの正しい挙動を知ることから始めよう
  2. 障害対応に強くなろう (2) 検索力を身に着けて障害の最短解決を目指そう
  3. 障害対応に強くなろう (3) 障害対応のために覚えておきたいコマンド 初級編 1
facebook シェアシェア
LINE シェアシェア