AWSの新しいセキュリティ機能によって、Amazon S3経由での意図しない情報公開に歯止めがかかりそうです。
japan.zdnet.com
これら4つの新規オプションによって、アカウント所有者はアカウント内のすべてのAmazon S3バケットに対するデフォルトのアクセス設定をセットできるようになる。新たなパブリックアクセス設定機能によって、既存のまたは新たな公開設定(ポリシーやACL)をブロックできるようになる。
アカウントの所有者は、Amazon S3バケットに対するこれらの新規設定の適用対象として、今後作成されるもの、過去に作成したもの、または双方を指定できる。
AWSのチーフエバンジェリストであるJeff Barr氏によると、これらの新規設定はアカウントの所有者や、従業員/開発者らが、アプリレベルでのコーディングミスやバケットレベルでの設定ミスにより偶発的にAmazon S3バケットを公開してしまい、自らのデータを漏えいさせてしまうといった事故を防ぐための「マスタースイッチ」として機能するという。
(ZDnet記事より引用)
◆キタきつねの所感
既にAWSが一種の社会インフラとなりつつある中、Amazon S3バケットの意図しない公開による事件あるいは漏洩リスクの公開(主にホワイトハッカーによる)が問題となっています。その多くはAWS利用側であるユーザの設定ミスによるもので、Amazon側の度重なる『設定ミスへの注意喚起』にも関わらず、この手の事件は定期的に報じられています。
個人的な印象としては、Amazonがようやく重い腰を上げたな・・という感じなのですが、事件多発とは違う視点で考えるとクラウドサービスにおいて、ユーザ責任を押し付けるのに限界がある事を図らずも証明してしまったと捕らえる事ができるかも知れません。
別なZDNetの記事にも興味深い記述がありました。
japan.zdnet.com
また、AWSは不審なIPアドレスの検出(「IP Insights」)や、高次元オブジェクトの低次元への埋め込み(「Object2Vec」)、教師無しグループ化(K平均法)といった新たなアルゴリズムも提供する。これらの埋め込みアルゴリズムすべては、ペタバイト規模のデータセットを念頭に置いて設計されている。AWSはこの1年を通じて、新たなフレームワークに対するサポートを追加してきている。顧客は近いうちに、大規模な分散型訓練のための完全マネージド型の「Horovod」のジョブや、機械学習ライブラリ「Scikit-learn」、「Spark MLeap」による推論を実行できるようにもなるはずだ。
さらにコンプライアンスや認定に関して、AWSはSageMakerを同社の「System and Organizational Controls(SOC)」の監査レベル1〜3に組み入れる計画にしてもいる。
(ZDNet記事より引用)
この記事から考えると、Amazonは自社の顧客を守るためにセキュリティ機能を実装し、顧客が容易に設定するだけでその効果を得られること、つまりセキュリティを自社サービスの売りにし始めたと考えることができそうです。
こうした流れを受けて、他のクラウドサービス事業者も設定の責任をユーザ側に押し付けるのではなく、設定ミスが起こる事を前提としたセキュリティ機能の拡張という方向に向かうかも知れない、そんな可能性を感じるAmazonの発表であった気がします。
foxsecurity.hatenablog.com
更新履歴
