Virtual Private Cloud を使用する際のお客様の責任について
IBM Cloud® Virtual Private Cloud (VPC) を使用する際の管理責任について説明します。IBM Cloud VPC でのお客様の責任は、特に明記されていない限り、すべての VPC インフラストラクチャー・サービスに適用されます。 すべての利用条件については、クラウド・サービスのご利用条件を参照してください
責任分担についての概要
IBM Cloud VPC は、IBM Cloud 責任分担モデルによる Infrastructure as a Service (IaaS) オファリングです。 以下の表で、IBM Cloud VPC を使用する場合の特定のクラウド・リソースの責任者が誰であるか確認してください。 その後、領域別の責任分担の作業で、責任分担の細かい作業について確認してください。
| リソース | インシデントと運用の管理 | 変更管理 | Identity and Access Management | セキュリティーおよび法規制コンプライアンス | ディザスター・リカバリー |
|---|---|---|---|---|---|
| データ | お客様 | お客様 | お客様 | お客様 | お客様 |
| アプリケーション | お客様 | お客様 | お客様 | お客様 | お客様 |
| オペレーティング・システム | お客様 | お客様 | お客様 | お客様 | お客様 |
| 仮想サーバー | 共有 | 共有 | 共有 | 共有 | 共有 |
| 仮想ストレージ | 共有 | 共有 | 共有 | 共有 | 共有 |
| 仮想ネットワーク | 共有 | 共有 | 共有 | 共有 | 共有 |
| ハイパーバイザー | IBM | IBM | IBM | IBM | IBM |
| ベアメタル・サーバー | 共有 | 共有 | 共有 | 共有 | 共有 |
| 物理的なサーバーおよびメモリー | IBM | IBM | 共有 | 共有 | IBM |
| 物理ストレージ | IBM | IBM | IBM | IBM | IBM |
| 物理的なネットワークおよびデバイス | IBM | IBM | IBM | IBM | IBM |
| 設備およびデータ・センター | IBM | IBM | IBM | IBM | IBM |
領域別の責任分担の作業
概要 を確認した後は、 IBM Cloud VPC を使用する際に、あなたと IBM がどのようなタスクを分担しているかを確認してください。
インシデントおよび運用管理
インシデントと運用の管理には、モニター、イベント管理、高可用性、問題判別、復旧、完全な状態のバックアップとリカバリーなどのタスクが含まれます。
| タスク | IBM の責任 | ユーザーの責任 |
|---|---|---|
| インフラストラクチャー | IBM は、セキュリティーで保護され、可用性が高い、フルマネージドの IBM 所有のインフラストラクチャーをデプロイします。 | お客様は、提供された API、CLI、または UI コンソールを使用して、コンピューティングとストレージのプロビジョニングを行い、ワークロードのニーズを満たすようにネットワーク構成を調整します。 VPC サービス・インスタンスのプロビジョニングと管理を自動化するために、IBM Cloud Schematics や Terraform などの自動化ツールを使用できます。 |
| 可用性 | IBM VPC、サブネット、仮想サーバーインスタンス、 ボリューム、 共有、セキュリティグループ、アクセス制御リスト、フローティングIPアドレス、パブリックゲートウェイ、SSHキーなど、複数のアベイラビリティゾーン(AZ)およびマルチゾーンリージョン(MZR)にわたるVPCインフラストラクチャのリクエストに対応します。 Block Storage File Storage | お客様は、当社が提供するツール(複数のアベイラビリティゾーンなど)を使用して、高可用性を実現する方法でワークロードを設計および展開します。 大まかに言えば、異なるゾーンに配置された少なくとも2つのロードバランサーを使用し、ロードバランサーを指すDNSレコードを使用するか、またはアプリケーションが接続可能なIPアドレスのリストを処理できるようにすることで、リージョンの異なるゾーンにワークロードを展開する責任があります。 詳しくは、複数の場所およびゾーンにわたる分離されたワークロードのデプロイを参照してください。 |
| お客様所有の CIDR の持ち込み | IBM は、お客様所有の CIDR ブロックをサブネットに持ち込むための機能を提供します。 | お客様は、VPC用に指定するCIDRブロックが、VPCに接続する予定の他のネットワークで使用されているCIDRブロックと競合しないことを保証します。 |
| Monitoring | IBM は、組み込みの仮想サーバー・インスタンス・モニターと IBM Cloud Monitoring を提供します。 | お客様は、組み込みの仮想サーバーインスタンス監視機能または IBM Cloud Monitoring を使用して、作業負荷の健全性を監視します。 |
| ログ | IBM は、デバッグのためにログにアクセスできるようにします。 | お客様は、必要に応じて IBM Log Analysis を使用してログを確認します。 |
| ワークロード | IBM は、お客様が使用するためのツールと機能を提供します。 | お客様は、提供されるツールと機能を使用して、権限のセットアップ、他のサービスとの統合、外部からのサービスの提供、正常性のモニター、データの保存/バックアップ/リストアを行い、可用性と回復力の高いワークロードを構成およびデプロイします。 |
| フロー・ログ | IBM は、さまざまなエンドポイントからフロー・ログ・データを収集する機能を提供します。 | お客様は、 IBM Cloud Flow Logs for VPC のデータ保持プロセスを理解し、送信先である Cloud Object Storage のバケットが適切に保護および暗号化されていることを確認します。 |
変更管理
変更管理には、デプロイメント、構成、アップグレード、パッチ適用、構成変更、削除などのタスクが含まれます。
| タスク | IBM の責任 | ユーザーの責任 |
|---|---|---|
| OS ベースの更新のリポジトリー | IBM は、OS ベースの更新のリポジトリーに対するプライベート・ネットワーク・アクセスを提供します。 | お客様は、OS パッチ、バージョン更新、およびセキュリティー更新の適用を継続します。 |
ID およびアクセスの管理
ID およびアクセスの管理には、認証、許可、アクセス制御ポリシーや、アクセス権の承認、付与、取り消しなどのタスクがあります。
| タスク | IBM の責任 | ユーザーの責任 |
|---|---|---|
| IBM Cloud IAM | IBM は、IBM Cloud のコンソールおよび REST API を使用してリソースへのアクセスを制限する機能を提供します。 | お客様は、IBM Cloud の ID およびアクセス管理 (IAM) を使用して、リソースへのアクセスを管理する必要があります。 |
セキュリティーおよび法規制コンプライアンス
セキュリティーおよび規制コンプライアンスには、セキュリティー管理の実装やコンプライアンス認定などのタスクがあります。
| タスク | IBM の責任 | ユーザーの責任 |
|---|---|---|
| コンプライアンス | IBM は、最新の業界コンプライアンス標準に合致した管理を維持します。また、IBM は、お客様のコンプライアンスのために、一般データ保護規則 (GDPR) に対応した状態を維持します。 詳しくは、IBM Cloud のコンプライアンスについてを参照してください。 | 欧州連合の一般データ保護規則を含め、各種法令に対するお客様のコンプライアンスは、お客様が確保する必要があります。 |
| セキュリティー機能 | IBM は、暗号化ディスクなどのセキュリティー機能を利用できるようにします。 | お客様は、提供されるセキュリティー機能を使用して、例えば、ユーザーのアクセスを適切なリソースおよびリソース・グループに制限したりします。 |
| 脆弱性 | IBM は、ストック・イメージを継続的にモニターして、脆弱性やセキュリティー・コンプライアンス上の問題を検出します。 | 潜在する脆弱性およびセキュリティー問題についての情報は、脆弱性を修復するための処置が掲載されるセキュリティー情報サイトを利用して、お客様が取得する必要があります。 お客様は IBM Cloud の状況 Web サイトを利用して、IBM Cloud のプラットフォーム、インフラストラクチャー、および主要なサービスに影響を及ぼす、重要なイベントについての発表やセキュリティー情報の通知を確認できます。 |
| 監査レコード | IBM は、IBM Cloud Activity Tracker によって VPC リソースのライフサイクルの監査レコードを提供します。 | お客様は、IBM Cloud Activity Tracker ツールを使用して監査レコードをモニターします。 |
| セキュリティー・グループおよび ACL | IBM セキュリティグループとネットワークACLを使用して、仮想サーバーインスタンスへのアクセスを制限する機能を提供します。 | お客様は、セキュリティー・グループとネットワーク ACL を使用して、インスタンスに SSH で接続できる IP アドレスの制限などを行い、仮想サーバー・インスタンスを保護します。 |
| パブリック・ネットワーク・アクセス | IBM パブリックゲートウェイ、またはフローティングIPアドレスを使用するオプションを提供します。 | 顧客は、必要に応じて、パブリックゲートウェイまたはフローティングIPのいずれかを使用して、自社の作業負荷をパブリックインターネットに接続する方法を選択します。 |
| アクセス制限 | IBM は、リソースおよびリソース・グループへのアクセスを制限するためのセキュリティー手段をお客様に提供します。 | お客様は、ユーザーのアクセスを適切なリソースおよびリソース・グループに制限します。 |
| Activity Tracker | IBM は、ロギングおよびモニターのツールを提供します。 | お客様は、IBM Cloud Activity Tracker と IBM Cloud Monitoring のデータを監査とモニターのプロセスに統合します。 |
| 暗号化 | IBM Cloud VPN for VPCは、IKE/IPsecポリシーを使用することで暗号化トラフィックをサポート
File Storage for VPCは、暗号化通信が有効な場合にのみ、金融サービス検証済みサービスと見なされます。 |
お客様は、必要に応じて、接続がエンドツーエンドで暗号化されるようにします。 |
ディザスター・リカバリー
災害復旧には、災害復旧サイトで依存するものを提供し、災害復旧環境とデータおよび構成のバックアップをプロビジョニングし、データと構成を災害復旧環境に複製し、災害イベントでのフェイルオーバーを行うといったタスクが含まれます。
| タスク | IBM の責任 | ユーザーの責任 |
|---|---|---|
| ロード・バランサーおよび VPN の災害復旧 | IBM Cloud Load Balancer および VPN for VPC では、日次バックアップによって、リージョン外の災害復旧ノードに構成データを遠隔地保管および遠隔地複製します。 このデータは IBM Cloud で完全に管理されるものであり、サービス・リカバリーを保証するためにお客様が関与する必要はありません。ただし、最大 24 時間分の構成データが失われる可能性があります。 | お客様は、ワークロード・データのバックアップ/リカバリー戦略をセットアップします。 |