事故から学ぶ

元社員による個人情報漏えい対応、日本とは対応が異なり日本企業に警鐘

事故概要

業種 Amazon
発生時期 未発表
漏えい人数 1億600万
事故概要

1億人超の個人情報流出、容疑者はAmazon元従業員クラウドセキュリティに不安の声も
クラウドでまた大規模な情報流出が発覚した。
米金融大手のCapitalOneから、クレジットカードの発行を申請した個人や企業など1億600万人あまりの個人情報が流出した事件。容疑者として米連邦捜査局(FBI)に逮捕されたソフトウェアエンジニアの女はAmazonの元従業員だったと伝えられている。
今回の事件はクラウドセキュリティを巡る不安や、情報を流出させた企業が多額のつけを負う実態を改めて浮き彫りにした。
逮捕されたペイジ・トンプソン容疑者(33)は、Webアプリケーションファイアウォールの設定ミスを突いてCapitalOneのデータが保存されたサーバから情報を盗んだとされ、GitHubでそのことを吹聴していた。
米セキュリティジャーナリストのブライアン・クレブス氏によると、トンプソン容疑者がGitLabに掲載したレジュメの職歴には、Amazonの社名があった。

同容疑者はTwitterへ投稿の中で、Amazonのクラウドインスタンスに対するハッキングについて言及していた。Slackのチャンネルには、セキュリティに不備のあるAmazonクラウドインスタンスをハッキングして、他の大手企業のデータにも不正アクセスしていたことをうかがわせる投稿があったという。
一方、AmazonはCapitalOneの事件に関して報道各社に寄せた声明で、AmazonWebServices(AWS)がハッキングされた事実はないと説明、「犯人が悪用したのはWebアプリケーションの設定ミスであり、根底にあるクラウドベースインフラではなかった」と強調している。ただ、CapitalOneがAWSのサービスを利用しているのは事実。米議会では上下両院の委員会がAmazonとCapitalOneに説明を求めるなど、クラウドに対しても厳しい目が向けられている。たとえ悪意はなかったとしても、AWSなどのクラウドサービスを巡っては、設定ミスが原因で、重要情報が誰にでもアクセスできる状態で露呈されている実態が相次いで指摘されてきた。CapitalOneのような金融機関を含め、企業は今、ITインフラのクラウド移行を加速させている。

WallStreetJournalは「クラウド技術を採用した時点で、顧客の記録を守るための十分な安全対策を講じていたのかどうかが問われる」と解説、「容疑者がAmazonのクラウド事業部の従業員だったことは、インサイダーによる脅威のリスクを浮き彫りにした」とも指摘した。今回の事件では、CapitalOneの事後の対応を評価する声もあった。不祥事が起きてしまった場合の対応次第で、その会社に対する評判の低下に拍車をかけることもあれば、逆に好印象を与えることもある。とりあえずトップが並んで頭を下げておけばいいだろう、的な対応は日本以外の国ではほとんど見られない。

引用元 IT media

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 “社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

日本でも、クラウドサービス利用時の情報漏えいが時々発生している。
クラウド利用のメリットは数多くあるが、まかせっきりではいけない、チェックポイントぐらいはつかんでおくように、という警鐘となる事例である。

具体例:

この記事で注目すべき点は、下記のポイントである。

不祥事が起きてしまった場合の対応次第で、その会社に対する評判の低下に拍車をかけることもあれば、逆に好印象を与えることもある。とりあえずトップが並んで頭を下げておけばいいだろう、的な対応は日本以外の国ではほとんど見られない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。