プロジェクトマネジメント

クラウドの共有責任モデルとは?AWS・Azure・GCPで変わる責任範囲を簡単に理解

クラウドサービスを利用する際に必ず理解しておくべき考え方が
「共有責任モデル(Shared Responsibility Model)」 です。

クラウドでは、
“ベンダーが守る範囲” と “利用企業が守る範囲” が明確に分かれています。
これを理解していないと、設定ミスや管理漏れから
重大な情報漏えいにつながるリスク があります。

この記事では、AWS・Azure・GCPを例に、
共有責任モデルの基本と、企業が必ず押さえるべきポイントをわかりやすく解説します。

共有責任モデルとは?

共有責任モデルとは、
クラウドサービスのセキュリティは“クラウド事業者”と“利用者企業”の共同責任で成り立つ
という考え方です。

● クラウド事業者(AWS/Azure/GCP)が守る範囲

  • データセンターの物理セキュリティ
  • ネットワーク基盤(スイッチ/ルータ)
  • ホストOS・ハードウェア
  • ストレージや仮想化基盤の保護

● 利用者企業が守る範囲

  • データの設定・管理
  • アプリケーションのセキュリティ
  • IAM(アクセス権限)設定
  • OS・ミドルウェアのパッチ(IaaSの場合)
  • ネットワーク設定(ファイアウォール / セキュリティグループ)
  • ログ監査・運用

つまり、
クラウドは“安全な環境”は提供するが、“安全な使い方”は利用企業の責任 ということです。

共有責任モデルが重要な理由

共有責任モデルを理解していないと、次の事故が起こりやすくなります。

● “設定ミス” が最大の事故原因になる

近年のクラウド事故のほとんどが、

  • 誤った権限設定
  • 不適切な公開設定
  • パスワードの使い回し
  • ログ監査の未設定

といった 利用者側の設定ミス です。

● セキュリティ担当者の責任範囲が曖昧になる

どこまでがクラウド側で、どこからが自社側なのかを明確にしないと、
「誰が対応すべきか」が曖昧になり、抜け漏れが発生します。

● 監査・コンプライアンスの前提

ISMS・SOC2・個人情報保護対応などでは、
共有責任モデルの理解が“前提”として必須です。

AWS・Azure・GCPの責任範囲の違い(ざっくり理解)

大まかな考え方はどのクラウドも同じですが、
表現や細かい範囲が若干異なります。

● AWS の共有責任モデル

AWSは次のように定義しています。

✔ AWSが責任を持つ領域

  • ハードウェア・ネットワーク
  • 仮想化基盤
  • データセンターの物理セキュリティ

✔ 利用企業が責任を持つ領域

  • IAM(権限管理)
  • セキュリティグループ(ファイアウォール)
  • 暗号化設定
  • S3バケットの公開設定
  • アプリケーション
  • オペレーティングシステム(EC2など)

→ AWSは「基盤は守るが、利用者の設定は利用者が守る」の説明が非常に明確。

● Azure の共有責任モデル

Azureは
IaaS / PaaS / SaaS の利用形態によって 責任が変化する点を強調しています。

✔ IaaS

  • OS管理:利用者
  • ネットワーク設定:利用者
  • データ・アプリ:利用者

✔ PaaS(Azure SQL Database など)

  • OS・DB基盤:Azure
  • データ・アクセス権限:利用者

✔ SaaS(Microsoft 365 など)

  • アプリケーション運用:Microsoft
  • データ保護・認証設定:利用者

→ Azureは“サービスレイヤー別の責任”が最も明確。

● GCP の共有責任モデル

GCPは「BeyondCorp(ゼロトラスト)」を前提にしつつ、
次のように整理しています。

✔ GCPが守る領域

  • インフラ基盤
  • ハードウェア・ネットワーク
  • データセンター

✔ 利用企業が守る領域

  • IAM(Google IAM)
  • アプリケーション
  • ネットワーク設定(VPC・FWルール)
  • データ暗号化鍵(KMS管理)

→ GCPはゼロトラスト思想と組み合わせて解説する特徴がある。

利用者側が必ずやるべきこと(実務ベース)

共有責任モデルを理解した上で、
利用者企業が最低限やるべきことをまとめました。

● IAM(権限管理)の最小化

  • 管理者権限を乱用しない
  • 不要なアカウントを放置しない
  • ロールベースで権限を付与する

● ネットワーク設定

  • セキュリティグループ / FW ルールの最小化
  • 公開設定(0.0.0.0/0)を避ける
  • VPN・専用線経由のアクセスを基本にする

● 暗号化(保存・通信)

“クラウドだから暗号化されている”は誤解。
明示的に有効化する必要があります。

● ログ監査・アラート運用

  • CloudTrail(AWS)
  • Azure Monitor
  • Cloud Logging(GCP)

ログ監査は企業側の責任です。

● バックアップ・DRの設計

バックアップの設定・保持期間などは利用者の責任。
“自動だから安心” という誤解が事故につながります。

よくある誤解(失敗例)

❌ クラウドだから全部安全

→ 誤り。クラウド事業者は基盤のみ守る。

❌ 自動バックアップがあるから安心

→ 設定や保持期間は利用者側の管理。

❌ IAMを深く考えずに admin を多用

→ 内部不正の温床に。

❌ 誤ったVPC/バケット公開設定

→ 過去の漏えい事故の大半がこれ。

まとめ

クラウドの共有責任モデルは、
クラウドを安全に使うための最重要概念 です。

  • 基盤はクラウド事業者が守る
  • データ・権限・設定は利用企業が守る
  • IaaS/PaaS/SaaS で責任範囲は変わる
  • 設定ミスが最大の事故原因
  • IAM・ネットワーク・暗号化・ログ監査が企業側の必須作業

共有責任モデルを理解して運用すれば、
クラウドの安全性・柔軟性・スケーラビリティを最大限活かすことができます。

-プロジェクトマネジメント
-