AWS

AWS のセキュリティ対策と責任共有モデルを徹底解説｜安全なクラウド運用の基本

更新日：2026年2月26日

「クラウドは本当に安全なのか」クラウド移行を検討する企業から必ず出る質問です。自社のデータセンターなら物理的なセキュリティを自分たちで管理できますが、AWS のようなパブリッククラウドでは、インフラの管理を事業者に委ねることになります。

AWS は世界最高水準のセキュリティ対策を提供していますが、利用者側でも適切な設定と運用が必要です。責任共有モデルという考え方があり、AWS が担当する範囲と利用者が担当する範囲が明確に分かれています。この境界線を理解していないと、セキュリティの穴が生まれます。

本記事では、AWS のセキュリティの基本から、責任共有モデル、具体的な対策方法まで解説します。

AWS セキュリティとは

AWS のセキュリティの基本

クラウドセキュリティの考え方

クラウドセキュリティは従来のオンプレミス環境とは異なるアプローチが必要です。オンプレミス環境では物理的なセキュリティから、ネットワーク、サーバー、アプリケーションまで全てのレイヤーのセキュリティを自社で管理していました。

参照：AWS のセキュリティ

クラウド環境ではインフラストラクチャの一部をクラウド事業者が管理するため、セキュリティの責任も分担されます。この責任分担を正しく理解し、それぞれの役割を果たすことが安全なクラウド利用の基本となります。

AWS のセキュリティは「クラウド自体のセキュリティ」と「クラウド内のセキュリティ」に分けられます。前者は AWS が担当し、後者は利用者が担当します。この明確な責任分担により、高いセキュリティレベルを実現しています。

AWS が提供する多層防御

AWS は多層防御のアプローチでセキュリティを実現しています。単一の対策に依存するのではなく、物理層、ネットワーク層、システム層、アプリケーション層など複数のレイヤーで防御を行ないます。

物理的なセキュリティではデータセンターへの厳格なアクセス制御、24時間365日の監視、災害対策などが実施されています。ネットワーク層では DDoS 攻撃への防御、不正アクセスの検知、暗号化通信などの対策が施されています。

さらにシステムやアプリケーションレベルでは利用者が様々なセキュリティサービスを活用できます。脅威検知、ログ監視、アクセス制御など豊富なセキュリティ機能が提供されており、これらを組み合わせることで包括的な防御を実現できます。

責任共有モデルの理解

AWS の責任範囲

責任共有モデルは AWS セキュリティの最も重要な概念です。AWS は「クラウドのセキュリティ」に責任を持ちます。これは AWS のサービスを動かすために必要な基盤となるインフラストラクチャの保護を意味します。

参照：AWS の責任共有モデル

具体的には以下が AWS の責任範囲です。

データセンターの物理的なセキュリティは、AWS が完全に管理します。施設への不正侵入の防止、環境制御、電源や冷却システムの管理など、物理的な保護は全て AWS が担当します。

ハードウェアとネットワークインフラも AWS の責任です。サーバー、ストレージ、ネットワーク機器などのハードウェアの保守管理、故障時の交換、性能維持など、インフラ層の運用は AWS が行ないます。

仮想化レイヤーのセキュリティも AWS が担当します。仮想マシン同士の分離、リソースの適切な配分、仮想化ソフトウェアの脆弱性対策など、仮想化基盤の安全性を確保します。

利用者の責任範囲

一方、利用者は「クラウド内のセキュリティ」に責任を持ちます。AWS 上で構築するシステムのセキュリティは、利用者が管理する必要があります。

オペレーティングシステムの管理は利用者の責任です。OS のセキュリティパッチ適用、不要なサービスの停止、セキュリティ設定の最適化など、OS レベルのセキュリティ対策を実施する必要があります。

アプリケーションのセキュリティも利用者が担当します。アプリケーションの脆弱性対策、安全なコーディング、入力値の検証など、アプリケーションレベルのセキュリティを確保します。

データの保護も重要な責任です。データの暗号化、アクセス権限の設定、バックアップの取得など、データを適切に保護する対策を講じる必要があります。

ネットワーク設定やファイアウォールの設定も利用者の管理範囲です。どのポートを開放するか、どの IP アドレスからのアクセスを許可するかなど、ネットワークレベルのセキュリティを設計します。

責任範囲の具体例

サービスによって、責任の範囲は異なります。例えば、Amazon EC2（仮想サーバー）を使う場合、OS 以上のレイヤーは利用者の責任です。OS のパッチ適用、ミドルウェアの管理、アプリケーションのセキュリティなど、幅広い範囲を管理する必要があります。

一方、Amazon RDS（マネージドデータベース）を使う場合、データベースソフトウェアの管理は AWS が行ないます。パッチ適用、バックアップ、障害復旧などは自動化されており、利用者はデータベースへのアクセス制御や、データの暗号化など、データ保護に集中できます。

AWS Lambda（サーバーレス）では、さらに AWS の責任範囲が広がります。サーバーの管理、OS の管理、スケーリングなど、インフラ運用の多くを AWS が担当するため、利用者はアプリケーションのコードと、データの保護に注力できます。

AWS のセキュリティ対策

インフラストラクチャのセキュリティ

物理的なセキュリティ

AWS のデータセンターは、厳格な物理的セキュリティで保護されています。データセンターの場所は非公開であり、外部からは特定できないようになっています。

入退室管理は厳格です。多段階の認証プロセスがあり、許可された担当者のみがアクセスできます。生体認証、セキュリティカード、マントラップなど、複数の認証手段を組み合わせています。

24時間365日の監視体制も整っています。警備員による巡回、監視カメラによる記録、侵入検知システムなど、複数の手段で常時監視されています。

ネットワークの保護

AWS のネットワークインフラは、高度なセキュリティ対策が施されています。DDoS 攻撃への防御機能も標準で提供されています（詳細は AWS Shield のセクションで解説します）。

ネットワークの冗長化も徹底されています。複数の経路を確保し、一部の回線に障害が発生しても、サービスを継続できる設計になっています。

通信の暗号化も標準的に提供されています。データセンター間の通信、AWS のサービス間の通信は、暗号化されて保護されています。

各種認証と監査

AWS は、数多くの国際的なセキュリティ認証を取得しています。ISO 27001、SOC 1/2/3、PCI DSS など、業界標準の認証に準拠しています。

定期的な第三者監査も受けています。外部の監査機関による厳格な審査を経て、セキュリティレベルが維持されていることが確認されています。

これらの認証と監査報告書は、利用者も活用できます。自社のセキュリティ監査や、コンプライアンス対応の際に、AWS の認証情報を提示することで、監査対応を効率化できます。

データ保護

保存時の暗号化

AWS では、データを保存する際に暗号化する機能が提供されています。ストレージサービスやデータベースサービスで、保存時の暗号化を有効にすることで、物理的にデータが盗まれても、内容を読み取られることを防げます。

暗号化は、簡単な設定で有効化できます。多くのサービスでは、管理画面からチェックボックスを選択するだけで、暗号化が有効になります。暗号化による性能への影響もほとんどありません。

暗号化キーの管理も、マネージドサービスで行なえます。AWS Key Management Service (KMS) を使用することで、暗号化キーの生成、保管、ローテーションなどを自動化できます。また、ハードウェアセキュリティモジュールを使った、より高度なキー管理も可能です。

転送時の暗号化

データを転送する際の暗号化も重要です。インターネット経由でデータをやり取りする際は、SSL/TLS による暗号化を使用することで、通信内容の盗聴を防げます。

AWS のサービスへのアクセスは、HTTPS で行なうことが推奨されています。管理コンソールへのアクセス、API の呼び出し、データのアップロードなど、全ての通信を暗号化できます。

社内ネットワークと AWS を接続する場合は、VPN や AWS Direct Connect（専用線） を使用することで、より安全な通信が可能です。特に高い機密性が求められる環境では、専用線によってインターネットを経由しない閉域網を構築した上で、さらにその中で VPN による暗号化を重ねる多層防御を施すことがベストプラクティスです。

バックアップとデータの冗長化

データの保護には、バックアップも不可欠です。AWS では、自動バックアップ機能が多くのサービスで提供されています。データベースサービスでは、定期的に自動でバックアップが取得され、指定した期間保持されます。

データの冗長化も自動的に行なわれます。保存したデータは、複数の物理的な場所に自動的に複製されるため、一つのデータセンターで障害が発生しても、データは保護されます。

重要なデータは、複数の地理的に離れた場所に保存することも可能です。災害対策として、地域をまたいでデータをレプリケーションすることで、広域災害からもデータを守れます。

可用性を設計する際は、ビジネス継続性の観点から RTO（Recovery Time Objective：目標復旧時間） と RPO（Recovery Point Objective：目標復旧時点） を定義することが重要です。「いつの時点のデータまで復旧させるか（RPO）」と「どれくらいの時間で復旧させるか（RTO）」を明確にし、それに基づいたバックアップ・冗長化戦略を策定します。

情報漏洩対策

データ保護の観点では、バックアップや暗号化に加えて、端末からの情報持ち出し防止も重要です。Amazon WorkSpaces などの仮想デスクトップ（VDI）を活用し、個人のローカル端末にデータを保存させない運用にすることで、端末の紛失・盗難による情報漏洩リスクを大幅に低減できます。

アクセス管理

IAM によるアクセス制御

AWS Identity and Access Management (IAM) は AWS のアクセス管理サービスです。誰が、どのリソースに、どのような操作ができるかを細かく制御できます。

参照：AWS Identity and Access Management (IAM)

ユーザーごとに異なる権限を付与できます。管理者には全ての操作を許可し、開発者には特定のサービスのみ操作を許可するなど、役割に応じた権限設定が可能です。

グループ機能を使うことで権限管理を効率化できます。同じ役割を持つユーザーをグループにまとめ、グループに権限を付与することで個別のユーザー管理の手間を削減できます。

最小権限の原則

セキュリティのベストプラクティスとして、最小権限の原則があります。ユーザーには、業務に必要な最小限の権限のみを付与することで、誤操作や不正アクセスによる被害を最小限に抑えられます。

最初は制限的な権限を付与し、必要に応じて権限を追加していくアプローチが推奨されます。全ての権限を付与してから制限するよりも、必要な権限だけを段階的に追加する方が、安全性が高まります。

定期的な権限の見直しも重要です。人事異動や業務内容の変更に伴い、不要になった権限は削除します。使われていない権限を残しておくことは、セキュリティリスクとなります。

多要素認証

多要素認証（MFA）は、パスワードに加えて、別の認証要素を要求する仕組みです。パスワードが漏洩しても、第二の認証要素がなければアクセスできないため、セキュリティが大幅に向上します。

AWS では、仮想 MFA デバイス、ハードウェア MFA デバイスなど、複数の MFA オプションが提供されています。スマートフォンのアプリを使った仮想 MFA は、追加コストなしで導入できます。

特に、強い権限を持つアカウントには、MFA の設定が強く推奨されます。管理者アカウントやルートアカウントには、必ず MFA を有効にすることで、不正アクセスのリスクを大幅に低減できます。

既存システムとの認証統合

既にオンプレミス環境で ID 管理システムを運用している企業では、AWS との認証統合が可能です。AWS IAM Identity Center（旧 AWS SSO）を使うことで、既存の企業アカウントで AWS にシングルサインオンできます。

SAML 2.0 や OpenID Connect などの標準プロトコルに対応しており、Active Directory や LDAP などの既存システムと連携できます。複数の AWS アカウントやビジネスアプリケーションへのアクセスを一元的に管理できます。

マルチクラウド環境でも、一度の認証で複数のクラウドサービスにアクセスでき、ユーザビリティとセキュリティを両立した認証環境を構築できます。

ネットワークセキュリティ

Amazon VPC によるネットワーク分離

Amazon Virtual Private Cloud (Amazon VPC) は AWS 内にプライベートなネットワーク空間を作成するサービスです。他の利用者から論理的に分離された独自のネットワーク環境を構築できます。

参照：Amazon VPC

Amazon VPC 内では IP アドレス範囲を自由に定義できます。サブネットを分割し Web サーバー用、アプリケーションサーバー用、データベース用など役割ごとにネットワークを分離できます。

プライベートサブネットを使うことでインターネットから直接アクセスできないネットワーク領域も作成できます。データベースなど外部からアクセスされるべきでないリソースはプライベートサブネットに配置します。

セキュリティグループとネットワーク ACL

セキュリティグループは、仮想的なファイアウォールです。各リソースに対して、どのポートを開放するか、どの IP アドレスからのアクセスを許可するかを設定できます。

デフォルトでは、全てのインバウンド通信が拒否され、全てのアウトバウンド通信が許可されます。必要な通信のみを明示的に許可することで、不要な通信を遮断します。

ネットワーク ACL は、サブネットレベルでのアクセス制御です。セキュリティグループと組み合わせることで、より細かな制御が可能になります。多層のファイアウォールにより、セキュリティを強化できます。

多層防御の実現

複数のセキュリティ対策の組み合わせ

効果的なセキュリティは、単一の対策に依存するのではなく、複数の対策を組み合わせることで実現します。ある対策をすり抜けた脅威も、次の対策で防ぐという多層防御のアプローチが重要です。

ネットワーク層、ホスト層、アプリケーション層など、各レイヤーで適切な対策を実施します。ファイアウォール、侵入検知、ウイルス対策、アクセス制御など、様々な対策を組み合わせます。

予防的な対策だけでなく、検知と対応の仕組みも重要です。完全に攻撃を防ぐことは困難なため、攻撃を早期に検知し、迅速に対応する体制も整えます。

アプリケーション層の保護

アプリケーション層では、AWS WAF による Web 攻撃の防御や、Amazon CloudFront と組み合わせたエッジでの防御が有効です。これらのサービスの詳細は「AWS のセキュリティサービス」セクションで解説します。

コンテナセキュリティ

コンテナ環境では、従来の仮想マシンとは異なるセキュリティ対策が必要です。コンテナイメージの脆弱性スキャン、ランタイム時の異常検知など、コンテナ特有の対策を実施します。

コンテナイメージは、定期的にスキャンし、既知の脆弱性が含まれていないか確認します。脆弱性が発見された場合は、イメージを更新し、コンテナを再デプロイします。

実行中のコンテナの動作も監視します。通常とは異なる動作や、不正なプロセスの起動を検知することで、侵入やマルウェア感染を早期に発見できます。

AWS のセキュリティサービス

脅威検知と対応

GuardDuty による脅威検知

Amazon GuardDuty は、機械学習と脅威インテリジェンスを活用した脅威検知サービスです。AWS 環境内の異常な動作や悪意のある活動を自動的に検出します。

参照：Amazon GuardDuty

ログデータを継続的に分析し、既知の脅威パターンや異常な振る舞いを検出します。不正なアクセス、データの異常な転送、マルウェアとの通信など様々な脅威を検知できます。

Security Hub によるセキュリティ管理

AWS Security Hub はセキュリティ状況を一元的に管理するサービスです。複数のセキュリティサービスからの情報を集約し、統合的なビューで確認できます。

参照：AWS Security Hub

セキュリティのベストプラクティスへの準拠状況も確認できます。推奨される設定と現在の設定を比較し、改善が必要な項目を特定します。

Inspector による脆弱性診断

Amazon Inspector はシステムの脆弱性を自動的に診断するサービスです。OS やアプリケーションの既知の脆弱性を検出し、セキュリティリスクを特定します。

参照：Amazon Inspector

定期的に診断を実行することで新たに発見された脆弱性にも対応できます。脆弱性データベースは継続的に更新されるため、最新の脅威にも対応できます。

Macie による機密データの検出

Amazon Macie は、機械学習を活用して Amazon S3 に保存された機密データを自動的に検出・分類するサービスです。個人情報（PII）、クレジットカード番号、認証情報など、保護が必要なデータを特定します。

参照：Amazon Macie

意図せず公開設定になっている S3 バケット内の機密データを発見し、情報漏洩のリスクを早期に把握できます。個人情報保護法や GDPR への対応にも有効です。

Config による構成管理

AWS Config は、AWS リソースの設定変更を継続的に記録・評価するサービスです。「S3 バケットが暗号化されているか」「セキュリティグループで全ポートが開放されていないか」など、定義したルールに基づいて設定の準拠状況を自動的にチェックします。

参照：AWS Config

設定変更の履歴が記録されるため、「いつ、誰が, 何を変更したか」を追跡でき、コンプライアンス監査にも活用できます。

ログ管理と監視

CloudTrail による操作ログ記録

AWS CloudTrail は AWS 環境での全ての操作を記録するサービスです。誰が、いつ、何を操作したかの詳細なログが保存されます。

参照：AWS CloudTrail

これらのログはセキュリティ監査やコンプライアンス対応に活用できます。不正な操作が行なわれた場合の調査や規制要件で求められる監査証跡としても使用できます。

CloudWatch によるリソース監視

Amazon CloudWatch は AWS リソースの状態を監視するサービスです。CPU 使用率、ネットワークトラフィック、ディスク使用量など様々なメトリクスを収集します。

参照：Amazon CloudWatch

異常な値を検知した場合、アラートを発信できます。CPU 使用率が急激に上昇した場合や予期しない通信が発生した場合など、設定した条件に基づいて通知されます。

ログの長期保管

セキュリティやコンプライアンスの観点から、ログの長期保管が求められることがあります。規制によっては、数年間のログ保管が義務付けられている場合もあります。

低コストのストレージサービスを使用することで、大量のログを経済的に保管できます。頻繁にアクセスしないログは、低コストのストレージクラスに保存することで、コストを最適化できます。

Web アプリケーション保護

AWS WAF による攻撃防御

AWS WAF は Web アプリケーションへの攻撃を防御するサービスです。一般的な Web 攻撃パターンをブロックし、アプリケーションを保護します。

参照：AWS WAF

マネージドルールを使用することで専門知識がなくても効果的な防御を実現できます。セキュリティの専門家が作成したルールセットが提供されており、一般的な攻撃への対策が簡単に導入できます。

AWS Shield による DDoS 対策

AWS Shield は DDoS 攻撃からアプリケーションを保護するサービスです。AWS の大規模なネットワークインフラにより、大量のトラフィックを吸収し、正常なトラフィックのみを通過させます。

参照：AWS Shield

標準版（Standard）は全ての利用者に無料で提供され、一般的な DDoS 攻撃への防御機能があります。高度版（Advanced）では、より大規模で複雑な攻撃にも対応でき、専門チームによる24時間365日のサポート、攻撃時のコスト保護、詳細な攻撃診断レポートなどが提供されます。

セキュリティ診断の自動化

Trusted Advisor によるセキュリティチェック

AWS Trusted Advisor は AWS 環境のベストプラクティスへの準拠状況を自動的にチェックするサービスです。セキュリティ、コスト最適化、パフォーマンス、耐障害性など複数の観点で推奨事項を提供します。

参照：AWS Trusted Advisor

セキュリティに関しては、セキュリティグループの設定、IAM の使用状況、Amazon S3 バケットのアクセス許可、MFA の有効化、Amazon RDS のバックアップ設定など、重要なセキュリティ項目を網羅的に確認します。

定期的な診断と改善

セキュリティは一度設定したら終わりではなく、継続的な改善が必要です。新しい脅威が日々出現し、システムの構成も変化するため、定期的な診断と改善のサイクルを回すことが重要です。

自動化されたセキュリティチェックを定期的に実行することで、設定の不備や新たなリスクを早期に発見できます。月次や四半期ごとなど、定期的なレビューを実施します。

セキュリティのベストプラクティス

アクセス管理のベストプラクティス

ルートアカウントの保護

ルートアカウントは AWS 環境で最も強力な権限を持つアカウントです。全ての操作が可能なため、厳重に保護する必要があります。

ルートアカウントでの日常的な作業は避けるべきです。管理者用の IAM ユーザーを作成し、通常の作業はそちらで行ないます。ルートアカウントは初期設定や特別な管理作業の時のみ使用します。

IAM ユーザーとロールの適切な管理

IAM ユーザーは個人ごとに作成します。共有アカウントは使用せず、各担当者が個別のアカウントを持つことで、誰が何を操作したか追跡できます。

IAM ロールは一時的な権限付与に使用します。アプリケーションやサービスが AWS リソースにアクセスする際は、永続的なアクセスキーではなくロールを使用することが推奨されます。

定期的なアクセス権限の見直し

付与した権限は定期的に見直します。人事異動や業務内容の変更により、不要になった権限は削除します。使われていない権限を残しておくことは、セキュリティリスクとなります。

データ保護のベストプラクティス

暗号化の徹底

全てのデータは暗号化して保存することが推奨されます。ストレージ、データベース、バックアップなど、あらゆるデータを暗号化します。

参照：AWS Key Management Service (KMS)

転送中のデータも暗号化します。API へのアクセス、データのアップロード、システム間の通信などネットワークを通じてデータを送信する際は、必ず暗号化を使用します。

定期的なバックアップと可用性の最適化

重要なデータは定期的にバックアップを取得します。自動バックアップを設定し人的ミスを防ぎます。

また、コストと可用性のバランスを最適化するため、検証環境はシングルAZ（単一の可用性ゾーン）構成でコストを抑え、本番環境はマルチAZ（複数の可用性ゾーン）構成で耐障害性を高めるといった使い分けが推奨されます。

データのライフサイクル管理

データにはライフサイクルがあります。頻繁にアクセスされるデータ、時々アクセスされるデータ、ほとんどアクセスされないデータなどアクセス頻度に応じて適切なストレージを選択します。

監視と対応のベストプラクティス

セキュリティイベントの監視

セキュリティイベントを継続的に監視します。ログの収集、異常検知、アラートの設定など、監視体制を整えます。

重要なイベントには即座にアラートを発信します。管理者が迅速に気付き対応できるようにします。メール、SMS、チャットツールなど、複数の手段でアラートを受け取れるようにします。

インシデント対応計画

セキュリティインシデントが発生した際の対応手順を事前に策定します。誰が何をするか、どのように連絡を取るか、どのような判断基準で対応するかなど、明確な手順を定めます。

定期的にインシデント対応の訓練を実施します。実際にインシデントが発生した際に迅速かつ適切に対応できるようシミュレーションを行ないます。

定期的なセキュリティレビュー

セキュリティ対策は定期的にレビューし、改善します。新しい脅威への対応、システム変更に伴う設定の見直し、ベストプラクティスのアップデートなど、継続的な改善が必要です。

コンプライアンス対応

AWS の認証と準拠

取得している認証

AWS は多数の国際的なセキュリティ認証を取得しています。ISO 27001、ISO 27017、ISO 27018 など、情報セキュリティに関する国際標準に準拠しています。

参照：AWS のコンプライアンス

SOC 1、SOC 2、SOC 3 などの監査報告書も提供されています。これらは第三者による厳格な監査を経て発行されており、AWS のセキュリティ管理体制の有効性を証明しています。

業界標準への準拠

AWS は各国の法律や規制にも準拠しています。EU の GDPR、日本の個人情報保護法、米国の各種規制など、世界中の規制要件に対応しています。

コンプライアンスプログラムにより継続的に規制への準拠を確認しています。法律や規制の変更にも迅速に対応し、常に最新の要件を満たすよう努めています。

規制要件への対応

個人情報保護法への対応

日本の個人情報保護法では個人データの適切な管理が求められています。AWS を使用する場合も、利用者が個人データ管理の責任を負います。

データの暗号化、アクセス制御、監査ログの記録など、個人情報保護法で求められる安全管理措置を AWS のサービスを活用して実現できます。

業界固有の規制への対応

金融業界、医療業界、公共機関など、業界によって固有の規制があります。これらの規制要件にも AWS は対応しています。

金融機関向けには、FISC（金融情報システムセンター）安全対策基準や金融庁のガイドラインに準拠した運用が可能です。医療機関向けには、厚生労働省・経済産業省・総務省の3省2ガイドラインに沿った医療情報の適切な管理に対応できます。公共分野では、AWS は政府情報システムのためのセキュリティ評価制度である ISMAP のクラウドサービスリストに登録されており、政府機関や自治体が求めるセキュリティ要件を満たしています。