Fox on Security

セキュリティリサーチャー(自称)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

AWS利用時の情報漏えいリスク

オーストラリアの政府と2つの銀行の個人情報が5万件漏えいした可能性との記事(11/3)。記事を見ると、Amazonクラウドサーバに保存していたバックアップデータの設定ミスで、インターネットからアクセスできたかも知れないという内容でした。サードパーティの設定ミスという事ではありますが、便利なアマゾンのCloudサービスを使う場合には注意して設定する、あるいはテストする事が要件定義に入ってきそうです。

 

Bank Info Security 

www.bankinfosecurity.com

 

似たような記事に記憶があったな・・と思って調べてみましたが、このケースとよく似ていますね。

 

ITmedia エンタープライズ 

www.itmedia.co.jp

企業側が管理するWebサイトであれば、脆弱性診断などで個人情報までたどり着けるかテストができますが、サードパーティに依頼してCloudでバックアップなど重要情報を保存する場合はあまり想定されてない(サードパーティ任せ)かと思います。事故が数件出ていることから考えると、設定テスト実施(要求)が一般化する可能性が高いかも知れません。