日本でもクラウド化が進んでいるが、日本よりもクラウドが進んだ欧米ではクラウドからの情報流出事案が後を絶たない。
※ここでいうクラウドとはIaaSを指します。
予め言っておくが、クラウド自体は問題ではない。
正しく設定して運用管理を行えば、クラウドは安全である。
しかし、設定を誤ると、情報は安易に漏れる。
これがクラウドのリスクである。
企業が自社でイントラネットを構築し、その中でサーバの運用を行っている状態であれば、仮にサーバの設定がザルだったとしても、ネットワークレイヤのセグメント分離により助かるケースはあり得る。
しかし、クラウドの場合、すぐ隣はインターネットの世界となり、サーバの運用管理がザルだと致命傷に直結する。
自分はクラウドについては肯定的だが、インフラについてはクラウド化してもオンプレ同様の人的リソースが必要と考えている。
それを怠った結末を2つ紹介したい。
■受刑者情報3万6千件が露出(アメリカ)
AWSのストレージサービスAmazon S3の「バケット(Bucket)」が、セキュリティ保護および暗号化されていなかったために、米国の刑務所に収容されている受刑者についての記録36,077件が露出
https://www.vpnmentor.com/blog/report-jailcore-leak/
■電車通勤者の情報1万人分が漏えい(イギリス)
AWSクラウドストレージ上のデータベースがパスワード保護されていなかったため、英国の「Network Rail」社が管理する駅で無料Wi-Fiサービスを利用する乗客についての情報が漏えい
https://securitydiscovery.com/c3uk/
数年後には日本からも同様のインシデント発生が予測されるので、自社のIaaS導入は心してかかりたい。
【参考】
クラウドストレージの誤設定による情報漏えいが続発
https://blog.trendmicro.co.jp/archives/24234