A不正解
データセンターの物理セキュリティ
物理セキュリティは AWS が所有・運営する施設のセキュリティ(security OF the cloud)です。
顧客はデータセンターにアクセスできず実装できないため、顧客責任ではなく不正解です。
責任共有モデルにおいて、利用するサービスの種類に関わらず常にお客様が責任を負うものを 2 つ選んでください。
1 / 1
複数選択してください
正解B, D
解説
責任共有モデルで、サービス種別に関わらず常に顧客が責任を負う 2 領域を選ぶ問題。
- 1「サービスの種類に関わらず」IaaS でもマネージド/SaaS でも変わらず、常に 顧客側に残る領域を問うている
- 2「常にお客様が責任」AWS が何を提供しても顧客が 決定・管理し続ける 領域(データと権限)
B正解
データそのもの(内容・分類・保持期間の管理)
正解。データの内容・機密区分・保持期間・暗号化の選択は、AWS がどのサービスを提供しても 常に顧客の資産 であり顧客が管理します。AWS はデータを格納する基盤を提供するだけで、データの中身には関与しません。
C不正解
ハイパーバイザーのセキュリティパッチ適用
ハイパーバイザーは複数テナントを分離する AWS の基盤インフラです。
顧客はこの層にアクセスできずパッチ適用もできないため、顧客責任ではなく不正解です。
D正解
IAM によるアクセス権限の管理
正解。誰にどのリソースへのアクセスを許可するか(IAM のユーザー・ロール・ポリシー設定)は、サービスの種類に関わらず 常に顧客が決定・管理 します。AWS は IAM の仕組みを提供しますが、権限の設計と付与は顧客の責任です。
E不正解
ホスト OS(基盤側 OS)のパッチ適用
ホスト OS(ハイパーバイザーが動く基盤側の OS)は AWS が管理する基盤層です。
顧客が触れられるのはゲスト OS までであり、ホスト OS は AWS 責任のため不正解です。
ポイント
どのサービスを使っても顧客に必ず残る責任は (1) データ (2) IAM/アクセス管理 の 2 つ。ゲスト OS・アプリは IaaS では顧客だがマネージドでは AWS に移るため『常に』ではない。物理・ハイパーバイザー・ホスト OS は常に AWS。