Amazon-S3
Infrastructure as a Service

AWS S3がデフォルトの暗号化オプションによりアドミンの苦労と負担を取り除く

次の記事

Google、AirDrop対抗のファイルマネージャー、Files Goを提供へ

顧客がデータを暗号化してないことによるAmazon S3のセキュリティ事故は、慢性的に多い。被害企業の中には、某国防総省納入企業や、本誌TechCrunchのオーナー企業Verizon、大手コンサルティング企業Accentureなどの著名企業もいる。というわけで今日AWSは、S3上のデータが(なるべく)確実に暗号化されるための、5種類のツールセットを発表した

まず、これからのS3には、デフォルトで暗号化する、というオプションがある。その名のとおり、このオプションを指定すると、S3に放り込むデータはデフォルトで暗号化される。アドミンが暗号化されてないファイルのバケットを作ると、それが拒絶される、ということもない…ただ黙って暗号化される。絶対安全とは言えないが、アドミンのうっかりミスで暗号化されなかった、という人的ミスはなくなる。

次に、さらに念を押すかのように、S3の管理コンソール上では、守秘設定のない、パブリックにオープンなバケットの横に、よく目立つ警戒標識が表示される。これによりアドミンは、エンドユーザーのうっかりミスに気づくことができる。

そしてアドミンは、Access Control Lists(ACLs)により、S3の各バケットやオブジェクトのアクセス許容者を指定できる。これまでのパーミッションはデータに付随して移動するが、このバケットレベルのパーミッションなら、別のアドミンが管理する別のリージョンにバケットが移っても大丈夫だ。パーミッションは、そのバケットのレプリカにも適用される。

さらにアドミンは、オブジェクトの複製をAWSのKey Management Service(KMS)が管理するキーで暗号化できる。つまり、アドミン自身が暗号化キーを管理しなくても、S3のデータを確実に暗号化することができる。

そして、万一事故が生じたときには、レポートが提供される。そこにはS3内の各オブジェクトの暗号化ステータスなどが載っている。それは、今後の人的エラー対策のための、基本資料ともなる。

絶対確実なセキュリティ対策はありえないにしても、今度発表されたS3のデータ保護対策により、アドミンが確実にそして容易に、暗号化されていない情報の混入を防ぐことができるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa