Capital Oneの1億人データ漏えいで内部犯行リスクに再び注目

次の記事

エネルギーと通信企業を狙う新しいハッキンググループ

最近のCapital Oneの1億人分の個人データ漏えいは テクノロジー界の注目を再びクラウドのセキュリティーに集めることとなった。実際なにがあったのかについてはまだ不明な部分が多い。公開された起訴状はCapital One以外の企業を匿名としている。クラウド企業側は広報上の一大危機を迎えている。

ここでは単なる推測でなく、確実な事実に焦点を当てたい。不愉快ではあるが避けて通れない問題、つまりクラウドのセキュリティーだ。

皆が気づかないフリをしようとしているのは、クラウドプラットフォームが本質的に抱えるセキュリティー上の問題だ。つまりクラウドサービスの顧客はクラウド企業の従業員の誰がどれほどのアクセス権限を持っているのか知りようがない。クラウド上の自社データに対し管理者レベルのアクセス権が与えられているのは誰なのか?

クラウドの顧客Xはクラウド企業Yで誰がどんな権限を持っているのか分からない。仮にクラウド企業の社員が倫理的義務にあえて違反すると決めれば、その社員は認証情報を含む特権的な内部情報を悪用してデータに対する不正なアクセスができる。顧客Xのデータをコピーするだけでなく、勝手にシステムを改変したりすることも可能だ。

念のために断っておくが、これはCaptal Oneのデータ漏えいがクラウド企業の社員ないし内部情報を利用できた人物の犯行だと示唆しているわけではない。FBIに逮捕された容疑者の職歴にはAmazon Web Services(AWS) も含まれており、データがダウンロードされたのはAWSのサーバーからだとみられている。しかし犯行に使われた知識、技能は必ずしもAWSに関する詳細な内部情報を必要とせず、インターネットにアクセスできるコンピュータと必要な好奇心があれば入手できる程度のものだったかもしれない。

問題はもっと幅広いものだ。企業トップが契約書にサインし、多数の顧客情報を含む機密データを第三者、つまりクラウド企業に引き渡すとき、トップはクラウド・プラットフォームに内在するメリット、デメリットの双方を正確に認識している必要がある。

簡単に言えば、クラウドに業務を移した後はオペレーションンのすべてがクラウドのホスト側に支配される。最悪の場合、クラウド企業が倒産してしまえば顧客のデータはいきなり路頭に迷う。もちろんそんなことになれば弁護士が慎重に作文した契約書のどこかの条項に対する違反となるだろう。しかし契約書や契約書上の文言には、例えばクラウド企業やその契約社員が悪事を働くことを止める力はない。しかもたとえ悪事が行われてもクラウドの顧客側では知りようがないのが普通だ。

つまりこういう状況を簡単に解決できる特効薬はないと認識することが重要だ。 今回の事件は、クラウドホスト側にとってビジネスに好影響をもたらしそうない極めて不愉快な話題であっても、クラウドに内在する危険を率直に検討するにはいい機会となった。こうした事件がなければクラウド内部の人間による悪行が公開される可能性はないからだ。

画像:Getty Images

【編集部注】この記事は米国カリフォルニア州のセキュリティー企業であるUpgurdChris Vickery氏(クリス・ヴィッカリー)の寄稿だ。同氏は、サイバーセキュリティー・リサーチ担当ディレクターとしてVickery氏は25億人のオンラインデータの保護にあたってきた。

【Japan編集部追記】 司法省の起訴状ではデータがダウンロードされたのはCloud Computing Companyからとあり、企業名は明かされていない。アメリカ議会の下院監視・政府改革委員会はCaptal OneとAWSに対し議会休会中の調査に協力するよう求めている。なおAWSの日本語サイトには成功したクラウド化事例としてCapital Oneが紹介されている。

原文へ

(翻訳:滑川海彦@Facebook