【初心者向け】共有責任モデルをやさしく解説｜クラウドの“どこまで自分の責任？”がスッキリわかる入門

🚀 はじめに

この記事でわかること

• 共有責任モデル（Shared Responsibility Model）が何か
• クラウドで 「どこまでがクラウド事業者」「どこからが自分の責任」 なのか
• もし誤解するとどうなるか、そして実際に何を気をつければよいか

✅ 概要解説

共有責任モデル（Shared Responsibility Model）とは何か

クラウドを「マンション暮らし」にたとえるとわかりやすいです。

• 管理会社（クラウド事業者）は、建物そのもの（土台・エレベーター・廊下・防犯カメラ）を安全に保つ責任があります。
• 住人（あなた／あなたの会社）は、自分の部屋の鍵・窓・貴重品管理・家のルールを守る責任があります。

クラウドも同じで、土台のハードや電源、建物の入り口の警備（＝クラウド基盤） は事業者が守ります。でも、部屋の鍵（パスワード）、窓締め（設定）、貴重品の置き方（データの扱い） はあなたの責任です。
この分担ルールを、業界では 「共有責任モデル」 と呼びます（AWS・Azure・Google Cloud など大手はすべて採用）。

何のためにあるのか

• 誤解を防ぐため：
  「クラウドに置けば全部安全でしょ？」というよくある誤解をなくし、誰が何を守るのかを明確にするため。
• 責任の分担を決めるため：
  セキュリティ事故が起きたとき、どの範囲を誰が対処するかをはっきりさせて、再発防止まで辿りやすくするため。

共有責任モデルがないとどうなるの？

• 「誰の仕事？」があいまいになり、パスワード管理やアクセス制御の穴が放置されやすい
• 設定ミス（例：ストレージの公開設定ミス） による情報漏えいが増える
• 事故後に 「想定外だった」「聞いてない」 で対立し、復旧や改善が遅れる

実際、クラウドの事件で多いのは “土台の故障”ではなく、利用者側の設定ミスや認証管理の不備です。
共有責任モデルは、こうした “もったいない事故” を減らします。

どんな場面で使えるのか（サービス別のイメージ）

クラウドの種類が変わると、分担の境界も少しずつ変わります。

• IaaS（仮想サーバー等 / 例：Amazon EC2、Azure VM）
  • 事業者：物理設備・ネットワーク・ハイパーバイザーなどの土台
  • あなた：OS設定・パッチ・ミドルウェア・アプリ・データ・ユーザー管理
• PaaS（アプリ基盤 / 例：Azure App Service、Cloud Run）
  • 事業者：OS〜ランタイムまで面倒を見る
  • あなた：アプリ設定・コード・データ・ID/権限
• SaaS（完成アプリ / 例：Google Workspace、Microsoft 365）
  • 事業者：アプリ本体・基盤
  • あなた：利用者アカウント・多要素認証・共有設定・データ分類

まとめ：基盤に近いほど（IaaS）あなたの守備範囲は広く、完成品に近いほど（SaaS）狭くなります。

💡 小話・豆知識・逸話

1. 「クラウドは“安全”だが“無敵”ではない」
   大手クラウドは世界有数のセキュリティ投資をしています。ただし、それは土台の品質が高いという話。
   パスワードの使い回しや公開設定ミスは、借り手（利用者）側の問題で、ここが事故の主因になりがちです。

2. “鍵のかけ忘れ”＝公開設定ミス
   クラウドストレージ（例：S3、Blob、GCS）を 「誰でも読める」にしてしまう事故は超定番。
   原則非公開 → 必要最小限だけ許可が鉄則。公開フラグに赤色の警告が出るサービスも多いので、まずはデフォルトを触らないのが安全。

3. 二段階認証（MFA）は“玄関のダブルロック”
   ID/パスワードだけだと、釣りメールで盗まれたら終わり。
   MFA（多要素認証） は、鍵＋暗証番号のように2つの要素で守るので、一気に安全性が上がります。

4. “権限は必要最小限（Least Privilege）”の理由
   「とりあえず管理者権限」は便利だけど危険。
   万一アカウントが乗っ取られると被害が最大化します。作業に必要な権限だけを付与しましょう。

📚 参考リンク

公式（Shared Responsibility Model / セキュリティ）

• AWS：
  • Shared Responsibility Model（英語/日本語有）：https://aws.amazon.com/compliance/shared-responsibility-model/
• Microsoft Azure：
  • Shared responsibility in the cloud：https://learn.microsoft.com/azure/security/fundamentals/shared-responsibility
• Google Cloud：
  • Shared fate / Shared responsibility（概念と実装）：https://cloud.google.com/security/shared-responsibility

🛠️ 関連テーマ・次に理解すると良いこと

• ID とアクセス管理（IAM）入門：ユーザー・グループ・ロール・ポリシーの考え方（MFA必須化、最小権限）。
• ネットワークの基礎（VPC/VNet）：インターネット公開とプライベートの違い、ファイアウォールやセキュリティグループ。
• データ保護：暗号化（保存時・通信時）、バックアップと復元手順、機微データの分類（機密・内部・公開）。
• 監視とログ：CloudWatch/Monitor/Cloud Logging などで気づける仕組みを先に整える。
• 構成管理と自動化：TerraformやBicepで “手動のうっかり”を減らす。
• 静的サイト運用（Hugo + Cloudflare Pages）：このブログのように公開面はCDN配信、編集はGitで安全に。

🎯 まとめ

• 共有責任モデル＝「クラウド事業者が守る範囲」と「自分たちが守る範囲」を決めたルール。
• IaaS→PaaS→SaaSの順に、あなたの守備範囲は狭くなるが、ゼロにはならない。
• 事故の多くは設定ミスや認証の甘さ。MFA・最小権限・デフォルト非公開が三種の神器。
• “まず公式ドキュメントを確認” が近道。図や比較表で分担を把握して、運用ルールに落とし込む。
• 次の一歩は、IAMの基礎→ネットワーク→データ保護→監視の順で、「気をつける点」を自分の言葉に置き換えること。