【CLF-C02】責任共有モデルをわかりやすく図解|AWSと利用者の境界・サービスで動く責任範囲

責任共有モデルをわかりやすく図解 CLF-C02 AWS資格の森 クラウドプラクティショナー(CLF)
無料CLF-C02 ドメイン2:セキュリティ|最頻出テーマ「責任共有モデル」を、AWSと利用者の境界・サービスで動く責任範囲まで図解で攻略します。

AWS認定 クラウドプラクティショナー(CLF-C02)で必ず複数問出るのが、この責任共有モデル(Shared Responsibility Model)です。「セキュリティはAWSが全部やってくれる」と思っていると確実に落とします。試験が問うのは、「どこまでがAWSの責任で、どこからが利用者(あなた)の責任か」という線引き。ここを図でつかめば、ドメイン2(配点30%・最大級)の得点源になります。全体像は CLF対策トップ をどうぞ。

責任共有モデル:AWSはクラウド自体(物理・サーバー・ネットワーク)を守り、利用者はクラウドの中(データ・権限・暗号化)を守ることを示す図
図:責任共有モデルの基本。AWS=「クラウド自体のセキュリティ」、利用者=「クラウドののセキュリティ」。

ひとことで言うと:「OF」と「IN」

責任共有モデルを賃貸マンションに例えた図。建物・配管はAWS、部屋の中の荷物と鍵は利用者が守る
図:賃貸マンションの例え。建物・配管(クラウド自体)はAWS、部屋の中の荷物と鍵(データ・権限)は利用者の担当です。

責任共有モデルは、英語の2つの前置詞で覚えるのが鉄板です。

  • AWSの責任 = Security OF the Cloud(クラウド「自体」のセキュリティ)
    データセンターの物理セキュリティ、サーバー・ストレージ・ネットワークなどのハードウェア、それらを動かす基盤ソフトウェア(仮想化基盤)。
  • 利用者の責任 = Security IN the Cloud(クラウドの「中」のセキュリティ)
    自分が置いたデータ、誰にどの権限を与えるか(IAM)、ファイアウォール設定、暗号化の有効化、(EC2なら)ゲストOSのパッチ適用やアプリの安全な作り。
覚え方
建物(クラウド自体)はAWSが守る/部屋の中の荷物と鍵(データ・権限)は自分で守る」。賃貸マンションの大家さんと入居者の関係に近いイメージです。

具体的に、誰が何を守る?

項目 責任者 補足
データセンターの物理セキュリティ AWS 入退室管理・電源・空調・廃棄。利用者は一切触れない
ハードウェア/グローバルインフラ AWS サーバー・ストレージ・ネットワーク機器・仮想化基盤
自分のデータ(中身) 利用者 何を保存し、どう分類・保護するかは常に利用者の責任
IAM(誰に何の権限) 利用者 ユーザー・ロール・ポリシーの設計と最小権限の徹底
暗号化の「有効化」 利用者 AWSは暗号化の仕組み(KMS等)を提供。使うかは利用者が設定
ファイアウォール設定(セキュリティグループ等) 利用者 どのポートを開けるかは利用者の構成しだい

最重要:責任の境界は「使うサービスで動く」

EC2→RDS→Lambdaとマネージド度が上がるほど利用者の責任範囲が減ることを示す図
図:マネージド度が上がるほど(EC2→RDS→Lambda)、利用者の責任範囲は小さくなります。

ここがCLFの引っかけポイントです。同じ「OSのパッチ当て」でも、使うサービスによってAWSの責任になったり利用者の責任になったりします。サービスを「自分でどこまで管理するか」の度合い(EC2=多い → RDS → Lambda=少ない)で、責任の線が上下に動くと考えてください。

サービス例 タイプ ゲストOSのパッチ 利用者が主に担うこと
Amazon EC2 IaaS(自分で多く管理) 利用者 OS・ミドルウェア・アプリ・データ・権限・FW設定
Amazon RDS マネージド AWS データ・アクセス権限・暗号化やネットワークの設定
AWS Lambda サーバーレス(管理は最小) AWS 関数コード・データ・IAM権限の設定のみ

ポイント:マネージド度が上がるほど、AWSの責任範囲が増え、利用者の責任は減ります。ただし「データ」と「アクセス権限(IAM)」は、どのサービスでも常に利用者の責任——これは絶対に動きません。

確認クイズ

Q1. Amazon EC2インスタンスで動かしているゲストOS(Linux)へのセキュリティパッチ適用は、誰の責任ですか?

A. AWS(自動で適用される)
B. 利用者(顧客)
C. AWSと利用者の半々
D. パッチは不要

Q2. 次のうち、常にAWSの責任であるものはどれですか?

A. S3バケットを公開にするかどうかの設定
B. IAMユーザーへの権限付与
C. データセンターの物理的な入退室管理
D. 保存データを暗号化するかどうかの選択

Q3. ある企業がAmazon RDSでデータベースを運用しています。DBエンジンのマイナーバージョンへのパッチ適用や基盤の保守は、主に誰の責任ですか?

A. AWS(マネージドサービスのため)
B. 利用者がDBサーバーにログインして手動で適用
C. パッチはRDSには存在しない
D. 物理サーバーを買った業者

Q4. 責任共有モデルについて、使うサービスに関係なく「常に利用者の責任」に当たる組み合わせはどれですか?

A. ネットワークケーブルの配線と電源管理
B. 自分のデータと、誰にアクセスを許すか(IAM)
C. 仮想化基盤(ハイパーバイザー)の保守
D. リージョン間の物理回線の敷設

よくある質問(FAQ)

Q. 結局、利用者が一番気をつけるべきことは?

A. 「データの保護」と「アクセス権限(IAM)の設計」です。この2つはどのサービスでも常に利用者の責任。S3バケットの公開設定ミスや過剰な権限付与が、クラウドの事故原因の大半を占めます。

Q. 「AWSが守る」と「利用者が守る」の境界を一言で?

A. AWSはクラウド「自体」(OF)、利用者はクラウドの「中」(IN)。物理・ハード・基盤はAWS、データ・設定・権限は利用者、と覚えれば大きく外しません。

Q. なぜサービスごとに責任が変わるの?

A. マネージド度が違うからです。EC2は利用者がOSから管理する一方、RDSやLambdaはAWSが基盤の面倒を見るぶん、利用者の責任は「データ・権限・設定」に絞られます。

まとめ

  • 責任共有モデル=AWS:クラウド自体(OF)/利用者:クラウドの中(IN)
  • AWS=物理・ハード・グローバルインフラ・仮想化基盤/利用者=データ・IAM・暗号化の有効化・FW設定
  • 責任の境界はサービスで動く(EC2は利用者が多く、RDS・Lambdaほどスリム化)
  • ただし「データ」と「アクセス権限(IAM)」は常に利用者の責任
🎯 次のステップ

※本記事はAWS公式試験ガイド(CLF-C02)および各サービスの公開ドキュメントに基づき、エンジニアKが作成しています。サービス仕様は更新されることがあるため、最新は必ずAWS公式でご確認ください。本サイトはAmazon Web Services, Inc.の公式サイトではありません。AWSは同社の商標です。

コメント

タイトルとURLをコピーしました