ドアに鍵をかけましょう:ベライゾンのセキュリティ保護されていないAWSサーバーへの侵入で1400万件の顧客記録が流出
トム・クレイジット著
パブリック クラウド サービスにファイルを保存することは、実際にデータを保護する限り、データを保護する最も安全な方法の 1 つです。
ZDNetは水曜日、ベライゾンの契約社員がAmazon Web Services(AWS)のサーバーにデータを保護せずに放置し、電話番号やアカウントアクセスに必要な暗証番号など1,400万件の顧客情報を流出させたと報じた。この契約社員はおそらく現在はNice Systemsを退職していると思われるが、ベライゾンのために取り組んでいたプロジェクトの一環として、記録を保管するためにAWS S3サーバーをセットアップしたが、情報は「容易に推測できるウェブアドレスを持つ誰でもダウンロードできる状態」のままだったとZDNetは報じている。
クラウドベンダーがクラウドセキュリティについて語るのを聞くと、ほぼ必ずと言っていいほど「クラウドセキュリティは双方向の関係にある」という趣旨のことを言うでしょう。これはクラウドコンピューティングの社会的契約の一部です。AWS、Microsoft、Googleなどのクラウドベンダーは、業界最高クラスのセキュリティ人材を雇用することができますが、これは企業には不可能です。しかし、その人材を確保する代わりに、クラウドコンピューティングを利用する顧客はいくつかの基本的な予防措置を講じる必要があります。
S3アカウントと「バケット」(AWSがファイルストレージを指す用語)を設定すると、AWSはそのファイルのデフォルトの権限をプライベートに設定します。つまり、記録を公開した人は、このデフォルト設定を上書きする必要がありました。請負業者がこれらの記録へのアクセスを少なくとも数人に許可したい理由は確かにありますが、請負業者が顧客データを全世界に公開する必要がある正当な理由を思いつくのは困難です。
VerizonはZDNetに対し、実際にデータにアクセスした者はおらず、データには社会保障番号や銀行口座のような機密性の高い情報は含まれていなかったと考えていると述べた。しかし、これはクラウドストレージを利用するすべての人にとって警鐘となる。結局のところ、警報器をつけ忘れてドアに鍵をかけずに家に強盗が入ったからといって、ADTを責めることはできないのだ。
