Amazon S3の設定ミスにより、アメリカ国民1億2千万件の世帯情報が公開されていた

以前からAmazon S3の設定ミスによる意図せぬ情報公開事故について取り上げているが、また新たに1件事故がおきた。

2017年12月20日、米セキュリティ調査会社UpGuardは、データ分析会社Alteryx社が運営する、Amazon S3のアクセス権限の設定ミスにより、アメリカの1億2千万世帯以上の世帯情報が公開されていたと発表した。

Amazon S3とは、Amazon社が提供するクラウドストレージサービスの一種である。Alteryx社はこのサービスを利用していたが、設定ミスにより「AWSの認証済みユーザ」であれば、誰でもアクセス出来る状態となっていた。なお、AWSの認証済みユーザは既に全世界で1000万人を超えている。

この公開されていたデータには、住所、民族性、興味や趣味、所得、住宅ローンの種類、住居人数などの住人に関する合計248項目の個人情報が含まれていた。なお、UpGuard社から連絡を受けたAlteryx社は既に公開されていたファイルを削除し、Amazon S3のアクセス権限の設定ミスを修正を完了したとしている。

本件で公開されていたデータ・セットにはExperian社から購入したと推測されるデータが含まれており、UpGuard社はパートナー企業の情報管理体制の不備により、機密情報が公開されてしまった事例として、パートナ企業の情報管理体制を評価するプロセスも重要だとした。

■2020年までに企業の99%が設定ミスによる何らかの事故を経験する

米ガートナー社の予測によれば、クラウドを利用している企業の99%は設定ミスにより何らかの事故を経験するだろうとしている。クラウドは機能追加/改善のペースも早くシステム担当者が仕様変更に追随することは負担が大きい。そのため、「細かい仕様や設定は確認出来ない」というブラックボックス状態に陥りやすい。

CASB等のソリューションを利用することで、こういったブラックボックス状態のクラウドのセキュリティ設定ミスを確認することが可能だ。システム担当者はクラウド時代のセキュリテイ対策を検討、実装することを推奨する。