責任共有モデル

セキュリティとコンプライアンスは、AWS とお客様の間の責任共有モデルです。
この共有モデルは、ホストオペレーティングシステムや仮想化レイヤーから、サービスが運用されている施設の物理セキュリティまで、さまざまなコンポーネントを AWS が運用、管理、統制するというものです。
お客様の責任としては、ゲストオペレーティングシステム（更新やセキュリティパッチなど）、その他の関連アプリケーションソフトウェア、ならびに AWS より提供されるセキュリティグループファイアウォールの設定の責任と管理が想定されます。
お客様の責任範囲は、使用するサービス、IT 環境へのサービス統合、適用可能な法律および規制に応じて異なります。
したがって、お客様は選択するサービスを注意深く検討する必要があります。
以下の図に示すように、この責任の相違は通常クラウド"の"セキュリティ、およびクラウド"における"セキュリティと呼ばれます。
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

AWS の責任は"クラウドのセキュリティ"
AWS は、AWS クラウドで提供されるすべてのサービスを実行するインフラストラクチャの保護に責任を負います。
このインフラストラクチャはハードウェア、ソフトウェア、ネットワーキング、AWS クラウドのサービスを実行する施設で構成されます。

お客様の責任は"クラウドにおけるセキュリティ"
お客様の責任は、選択した AWS クラウドのサービスに応じて異なります。
選択によって、セキュリティに関する責任の一環としてお客様が実行する構成作業の量が決定します。
例えば、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3 などのサービスは Infrastructure as a Service (IaaS) に分類されているため、必要なすべてのセキュリティ構成および管理のタスクをお客様が実行する必要があります。
お客様が Amazon EC2 インスタンスをデプロイした場合、お客様は、ゲストオペレーティングシステムの管理 (更新やセキュリティパッチなど)、インスタンスにインストールしたアプリケーションソフトウェアまたはユーティリティの管理、AWS より各インスタンスに提供されるファイアウォール (セキュリティグループと呼ばれる) の構成に責任を負います。

継承される統制
お客様が AWS から完全に継承する統制です。

• 物理統制と環境統制

共有統制
インフラストラクチャレイヤーとお客様レイヤーの両方に適用される統制です。
ただし、コンテキストや観点は完全に異なります。共有統制では、AWS がインフラストラクチャに対する要件を提供し、お客様は AWS のサービスの使用に対して独自の統制を実装する必要があります。

• パッチ管理
  AWS がインフラストラクチャの不具合に対するパッチ適用および修復に責任を負いますが、お客様はゲスト OS およびアプリケーションのパッチ適用に責任を負います。
• 構成管理
  AWS がインフラストラクチャデバイスの構成を保守しますが、お客様は独自のゲストオペレーティングシステム、データベース、アプリケーションの構成に責任を負います。
• 意識とトレーニング
  AWS が AWS の従業員のトレーニングを実施しますが、お客様の従業員のトレーニングはお客様が実施する必要があります。

お客様固有
AWS のサービスにデプロイするアプリケーションに基づいて、お客様のみの責任となる統制です。

• お客様が特定のセキュリティ環境内でデータをルーティングまたは区分する必要がある、サービスおよび通信の保護またはゾーンセキュリティ。