パブリック クラウド サービスを検討して評価するときは、共有責任モデルと、クラウド プロバイダーが処理するセキュリティ タスクと、処理するタスクを理解することが重要です。 ワークロードの責任は、ワークロードがサービスとしてのソフトウェア (SaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのインフラストラクチャ (IaaS)、またはオンプレミスのデータセンターでホストされているかどうかによって異なります。
責任の分担
オンプレミスのデータセンターでは、お客様がスタック全体を所有します。 クラウドに移行すると、責任の一部は Microsoft に移譲されます。 次の図は、スタックのデプロイの種類に応じて、お客様と Microsoft の間の責任の範囲を示しています。
すべてのクラウド デプロイの種類について、データと ID を所有します。 データと ID、オンプレミス リソース、および制御するクラウド コンポーネントのセキュリティを保護する責任があります。 制御するクラウド コンポーネントは、サービスの種類によって異なります。
デプロイの種類に関係なく、常に次の責任を負います。
- データ
- Endpoints
- Account
- アクセス管理
AI 共有責任
AI サービスを使用する場合、共有責任モデルでは、従来の IaaS、PaaS、SaaS 以外に固有の考慮事項が導入されます。 Microsoft は、AI インフラストラクチャ、モデル ホスティング、プラットフォーム レベルのセーフガードをセキュリティで保護する責任を負います。 ただし、お客様は、環境内での AI の適用方法に対する責任を引き続き負います。これには、機密データの保護、迅速なセキュリティの管理、迅速な挿入リスクの軽減、組織および規制の要件へのコンプライアンスの確保が含まれます。
AI ワークロードの責任は大きく異なるため、役割、ベスト プラクティス、リスク管理に関する詳細なガイダンスについては、 AI 共有責任モデル を確認する必要があります。
クラウド セキュリティの利点
クラウドは、長年にわたる情報セキュリティの課題を解決するための大きな利点を提供します。 オンプレミス環境では、組織はセキュリティへの投資に十分なリソースがない、または満たされていない責任を抱えていることが多く、その結果、攻撃者がすべてのレイヤーの脆弱性を悪用することができる環境が生じます。
次の図は、リソースが限られているために多くのセキュリティ責任が満たされない従来のアプローチを示しています。 クラウド対応のアプローチでは、日々のセキュリティ責任をクラウド プロバイダーにシフトし、リソースを再割り当てすることができます。
クラウド対応のアプローチでは、より効果的なクラウド ベースのセキュリティ機能を適用し、クラウド インテリジェンスを使用して脅威の検出と応答時間を向上させることもできます。 クラウド プロバイダーに責任をシフトすることで、セキュリティの適用範囲を広げることができるため、これまでセキュリティに費やしてきたリソースと予算を、事業のその他の優先事項に割り当てることができます。
次のステップ
Well-Architected フレームワークのセキュリティの柱の概要で、セキュリティ体制を改善するための共同責任と戦略について詳しく学びます。