AWS認定資格 無料問題集

解答

正しい解答：Ｂ. コンピューティング・リソースに対する物理的アクセスの制御

　URL を直接入力して「解答・解説」画面を表示した場合、何を選択・解答したかを特定できないため、解答の正誤判定ができません。必要に応じて「同じ問題に再挑戦」ボタンをクリックして、この問題に再チャレンジしてみてください。

徹底解説

　AWSの責任共有モデルにおいて、AWS側で責任をもつべき事項として定義されている項目は、「コンピューティング・リソースに対する物理的アクセスの制御」 です。AWS責任共有モデルは、AWSが提供するクラウド・サービスにおいて、AWSが責任を持つ範囲と利用者が責任を持つ範囲を明確に分ける考え方です。下図に示す通り、インフラストラクチャ層（クラウドのセキュリティ）と利用者層（クラウド内のセキュリティ）のそれぞれに適用されるべき責任範囲が定義されています。主に設備や物理基盤の管理をサービス提供者側のAWSが担当して、そのAWSサービスの仕様・制限の範囲内で、利用者は提供されたリソースを責任を持って管理する必要があります。具体的には、AWSのインフラストラクチャを構成する施設・設備やハードウェア、ハイパーバイザーの他、マネージド・サービスを実装するソフトウェアや各種サービスの管理や運用・保守はAWS側の責任範囲となります。選択肢にある 「コンピューティング・リソースに対する物理的アクセスの制御」 に記載の 「物理的アクセス」 から、AWSのサービスを構成しているサーバーやネットワーク機器などの物理的な機材に、実際に接近して操作することに対する制限を示していると考えると理解しやすくなるでしょう。

　その他の選択肢は、いずれも、AWSが提供する基盤上で動作するシステムやデータに対するセキュリティや運用管理を担当する利用者側の責任範囲です。Amazon EC2 インスタンス上のオペレーティング・システム（OS：Operating System）の管理は、利用者の責任範囲に含まれます。具体的には、セキュリティ・パッチの適用、OSの設定変更、障害発生時の対応などは、利用者自身で行う必要があります。同様に、Amazon EC2 インスタンスに保管するデータや転送するデータの保護も利用者の責任範囲です。そのため、Amazon EBS のボリュームの暗号化は、利用者の責任で実施する必要があります。Amazon EBS は、Amazon EC2 インスタンスと共に利用されるブロック接続型のストレージ・サービスです。Amazon EC2 にアタッチして、ローカル・ディスク・ドライブとして使用します。また、ネットワークACLの設定によるアクセス制御は、クラウド・サービスとして提供されたネットワークに対するセキュリティ対策であり、これも利用者の責任範囲です。

ココがポイント
　特に言及がされていない場合は、IaaSの利用を想定した責任範囲を解答しましょう。つまり、上図をイメージして正しい選択肢がどれであるかを判断しましょう。OSおよびネットワークの設定や制御、データの暗号化は利用者側の責任であることがわかりますね。