AWS認定 クラウドプラクティショナー(CLF-C02)で必ず複数問出るのが、この責任共有モデル(Shared Responsibility Model)です。「セキュリティはAWSが全部やってくれる」と思っていると確実に落とします。試験が問うのは、「どこまでがAWSの責任で、どこからが利用者(あなた)の責任か」という線引き。ここを図でつかめば、ドメイン2(配点30%・最大級)の得点源になります。全体像は CLF対策トップ をどうぞ。

ひとことで言うと:「OF」と「IN」

責任共有モデルは、英語の2つの前置詞で覚えるのが鉄板です。
- AWSの責任 = Security OF the Cloud(クラウド「自体」のセキュリティ)
データセンターの物理セキュリティ、サーバー・ストレージ・ネットワークなどのハードウェア、それらを動かす基盤ソフトウェア(仮想化基盤)。 - 利用者の責任 = Security IN the Cloud(クラウドの「中」のセキュリティ)
自分が置いたデータ、誰にどの権限を与えるか(IAM)、ファイアウォール設定、暗号化の有効化、(EC2なら)ゲストOSのパッチ適用やアプリの安全な作り。
「建物(クラウド自体)はAWSが守る/部屋の中の荷物と鍵(データ・権限)は自分で守る」。賃貸マンションの大家さんと入居者の関係に近いイメージです。
具体的に、誰が何を守る?
| 項目 | 責任者 | 補足 |
|---|---|---|
| データセンターの物理セキュリティ | AWS | 入退室管理・電源・空調・廃棄。利用者は一切触れない |
| ハードウェア/グローバルインフラ | AWS | サーバー・ストレージ・ネットワーク機器・仮想化基盤 |
| 自分のデータ(中身) | 利用者 | 何を保存し、どう分類・保護するかは常に利用者の責任 |
| IAM(誰に何の権限) | 利用者 | ユーザー・ロール・ポリシーの設計と最小権限の徹底 |
| 暗号化の「有効化」 | 利用者 | AWSは暗号化の仕組み(KMS等)を提供。使うかは利用者が設定 |
| ファイアウォール設定(セキュリティグループ等) | 利用者 | どのポートを開けるかは利用者の構成しだい |
最重要:責任の境界は「使うサービスで動く」

ここがCLFの引っかけポイントです。同じ「OSのパッチ当て」でも、使うサービスによってAWSの責任になったり利用者の責任になったりします。サービスを「自分でどこまで管理するか」の度合い(EC2=多い → RDS → Lambda=少ない)で、責任の線が上下に動くと考えてください。
| サービス例 | タイプ | ゲストOSのパッチ | 利用者が主に担うこと |
|---|---|---|---|
| Amazon EC2 | IaaS(自分で多く管理) | 利用者 | OS・ミドルウェア・アプリ・データ・権限・FW設定 |
| Amazon RDS | マネージド | AWS | データ・アクセス権限・暗号化やネットワークの設定 |
| AWS Lambda | サーバーレス(管理は最小) | AWS | 関数コード・データ・IAM権限の設定のみ |
ポイント:マネージド度が上がるほど、AWSの責任範囲が増え、利用者の責任は減ります。ただし「データ」と「アクセス権限(IAM)」は、どのサービスでも常に利用者の責任——これは絶対に動きません。
確認クイズ
Q1. Amazon EC2インスタンスで動かしているゲストOS(Linux)へのセキュリティパッチ適用は、誰の責任ですか?
Q2. 次のうち、常にAWSの責任であるものはどれですか?
Q3. ある企業がAmazon RDSでデータベースを運用しています。DBエンジンのマイナーバージョンへのパッチ適用や基盤の保守は、主に誰の責任ですか?
Q4. 責任共有モデルについて、使うサービスに関係なく「常に利用者の責任」に当たる組み合わせはどれですか?
よくある質問(FAQ)
Q. 結局、利用者が一番気をつけるべきことは?
A. 「データの保護」と「アクセス権限(IAM)の設計」です。この2つはどのサービスでも常に利用者の責任。S3バケットの公開設定ミスや過剰な権限付与が、クラウドの事故原因の大半を占めます。
Q. 「AWSが守る」と「利用者が守る」の境界を一言で?
A. AWSはクラウド「自体」(OF)、利用者はクラウドの「中」(IN)。物理・ハード・基盤はAWS、データ・設定・権限は利用者、と覚えれば大きく外しません。
Q. なぜサービスごとに責任が変わるの?
A. マネージド度が違うからです。EC2は利用者がOSから管理する一方、RDSやLambdaはAWSが基盤の面倒を見るぶん、利用者の責任は「データ・権限・設定」に絞られます。
まとめ
- 責任共有モデル=AWS:クラウド自体(OF)/利用者:クラウドの中(IN)
- AWS=物理・ハード・グローバルインフラ・仮想化基盤/利用者=データ・IAM・暗号化の有効化・FW設定
- 責任の境界はサービスで動く(EC2は利用者が多く、RDS・Lambdaほどスリム化)
- ただし「データ」と「アクセス権限(IAM)」は常に利用者の責任
- ➡ 関連:コンピューティング(EC2/コンテナ/サーバーレス)(責任範囲が動く実例)
- ➡ CLF対策トップに戻る
※本記事はAWS公式試験ガイド(CLF-C02)および各サービスの公開ドキュメントに基づき、エンジニアKが作成しています。サービス仕様は更新されることがあるため、最新は必ずAWS公式でご確認ください。本サイトはAmazon Web Services, Inc.の公式サイトではありません。AWSは同社の商標です。



コメント