2025年10月、AWSの大規模障害によってCanvaやZoomなど、世界中の主要なクラウドサービスが一時的に停止しました。
多くの企業が業務に支障をきたし、改めて「クラウド依存のリスク」に注目が集まっています。

今回の障害は、AWS側のインフラに起因するものであり、いわゆる「責任共有モデル」におけるAWS側の責任範囲に含まれる事象でした。しかし、「自社の責任ではない」と安心してよい話でもありません。
クラウドが停止した際の影響範囲や被害の大きさは、利用者側の備えや設定次第で大きく変わるからです。
AWSが守ってくれるのは「クラウドの中身」だけであり、「クラウドの上の使い方」は私たち利用者の責任です。
障害をきっかけに、改めて“自社のAWS環境を本当に理解できているか”を見直す必要があります。

本稿では、責任共有モデルの基本を押さえたうえで、日常運用で陥りがちな盲点とそれを解消するための実務的な手段として、SunnyPayのセキュリティ診断サービスの意義と中身を解説します。

■目次

  1. 責任共有モデルとは何か
  2. 「動いているから大丈夫」は一番危ない思い込み
  3. SunnyPayの「セキュリティ診断サービス」で分かること
  4. “AWS任せ”にしない安心を
  5. まとめ:障害をきっかけに、“守る側”の意識を取り戻す

1.責任共有モデルとは何か

AWSでは、セキュリティに関する責任を「AWS側」と「利用者側」で分担する考え方を採用しています。これが責任共有モデル(Shared Responsibility Model)です。
AWSはデータセンターやハードウェア、ネットワークといったクラウドの内部構造を守る責任を負います。一方で、利用者にはIAM(アクセス権限)、S3のアクセス制御、暗号化設定、CloudTrailによる監査ログ管理など、クラウドの利用方法や設定に関する責任が求められます。

つまり、AWSの仕組み自体は非常に強固ですが、その上に構築された環境の安全性は、利用者の運用と設定に左右されるのです。
実際、過去に発生したAWS関連の情報漏えい事例の多くは、サービスの欠陥ではなく、「S3バケットの誤公開」や「IAM権限の過剰設定」など、利用者側の設定ミスによるものでした。

2.「動いているから大丈夫」は一番危ない思い込み

AWS環境は日々拡張され、設定項目は数千にも及びます。
その中には、一度設定したまま見直されていないIAMポリシーや、無効化されたまま放置されている監視ルールなどが潜んでいることも少なくありません。

クラウドのセキュリティ事故は、派手なサイバー攻撃だけでなく、「設定が古い」「誰も見ていない」「公開範囲が必要以上に広い」といった“地味な原因”から起こります。
動いているからといって安全とは限らないのです。

自社のAWS環境をどのように守るべきかを判断するためには、ベストプラクティスに基づいた客観的な診断が欠かせません。

3.SunnyPayの「セキュリティ診断サービス」で分かること

株式会社アイディーエスが提供するSunnyPayセキュリティ診断サービスは、AWS Config と AWS Security Hub CSPM を活用した構成監査サービスです。
AWS Security Hub CSPMがカバーする50を超えるAWSサービスを対象に、AWS環境における各リソースの設定を「アカウント管理」「データ保護」「ネットワーク設定」「ログ監視」などの観点から、リスクの有無と重要度をレベル別(低/中/高/重大)に可視化します。

診断の結果は、

・設定上の問題点
・影響範囲
・推奨される対策内容

を整理し、影響範囲と推奨対策を脅威度別に併記したレポートとして報告します。

このレポートは監査資料としてもそのまま利用でき、社内でセキュリティ改善計画を立てる際の実践的な指針になります。
また、AWS公式のベストプラクティスに基づいた指標を用いるため、「感覚ではなく根拠に基づいた改善」が実現できます。

当サービスは診断費用に加えて、AWSサービス(Config・Security Hub)の利用料として、1アカウントあたり5〜20ドル前後の費用が発生します。
お申し込みからおおよそ2週間で結果が得られるため、スピーディーに現状把握を進められます。

※お使いのAWS利用環境により、利用料20ドルを超える場合があります。
※申し込み状況や診断対象の構成によっては、レポートのご提出まで2週間以上かかる場合がございます。

4.“AWS任せ”にしない安心を

この診断は侵入テストのようにシステムへ攻撃を仕掛けるものではなく、構成上のリスクを洗い出す「環境の健康診断」にあたります。
それでも、目に見えないリスクを明らかにし、“何から手をつければよいか”を整理できる価値は非常に大きいといえます。

セキュリティ対策の多くは、「気づく」ことから始まります。設定ミスや運用のほころびを放置すれば、AWSの障害とは関係ない自社発のトラブルを引き起こす可能性もあります。
AWSの強固な基盤の上で、安心してクラウドを活用するためには、自社の責任領域を定期的に点検する仕組みが必要なのです。

まとめ:障害をきっかけに、“守る側”の意識を取り戻す

今回のAWS障害は、AWS側の問題であり、利用者に責任はありません。しかし、こうした出来事は「クラウドの便利さの裏には、見えないリスクがある」ことを改めて思い出させてくれます。

クラウド時代のセキュリティは、「AWSが守る」だけでは成り立ちません。利用者自身が、自社環境を理解し、リスクを定期的に可視化することで、初めて“本当の安心”が生まれます。

AWS環境の設定や構成を客観的に把握し、リスクを可視化するための第一歩です。
AWSの強みを最大限に活かすためにも、一度、自社の環境を見直してみてはいかがでしょうか。

クラウドは便利で、強力です。しかし、「任せきり」にできるほど安全ではありません。
“クラウド任せ”の時代から、“クラウドと共に守る”時代へ。
その第一歩として、IDSのセキュリティ診断を活用してみてください。

さらに詳しく知りたい方へ

クラウド環境の安全性は、構築よりも「現状を把握すること」から始まります。
AWSの設定や監視体制を客観的に見直したい方は、SunnyPayセキュリティ診断サービスの詳細資料をぜひご覧ください。
診断の流れや対象範囲、実際のレポートイメージをまとめた資料を無料でダウンロードいただけます。

AWSコスト削減セミナー、参加受付中!

※「AWS無料コスト診断」特典は、AWS利用料が月額100万円以上の企業様を対象としております。ご利用状況をもとに、より具体的な改善提案を行うための基準となっております。何卒ご了承ください。

「気づかぬムダをどう見つけ、どう減らすか?」
そんな疑問に応える、AWSコスト削減に特化した無料ウェビナーシリーズを開催中です。

次回は、CloudFrontやVPCエンドポイントなどを活用した“データ転送コスト”の最適化がテーマ。
無駄な通信費を抑える実践的な手法から、コスト監視の自動化・継続改善の仕組みまで、実務で役立つノウハウを30分で凝縮してお届けします。