最近のCapital Oneの1億人分の個人データ漏えいは テクノロジー界の注目を再びクラウドのセキュリティーに集めることとなった。実際なにがあったのかについてはまだ不明な部分が多い。公開された起訴状はCapital One以外の企業を匿名としている。クラウド企業側は広報上の一大危機を迎えている。
ここでは単なる推測でなく、確実な事実に焦点を当てたい。不愉快ではあるが避けて通れない問題、つまりクラウドのセキュリティーだ。
皆が気づかないフリをしようとしているのは、クラウドプラットフォームが本質的に抱えるセキュリティー上の問題だ。つまりクラウドサービスの顧客はクラウド企業の従業員の誰がどれほどのアクセス権限を持っているのか知りようがない。クラウド上の自社データに対し管理者レベルのアクセス権が与えられているのは誰なのか?
クラウドの顧客Xはクラウド企業Yで誰がどんな権限を持っているのか分からない。仮にクラウド企業の社員が倫理的義務にあえて違反すると決めれば、その社員は認証情報を含む特権的な内部情報を悪用してデータに対する不正なアクセスができる。顧客Xのデータをコピーするだけでなく、勝手にシステムを改変したりすることも可能だ。
念のために断っておくが、これはCaptal Oneのデータ漏えいがクラウド企業の社員ないし内部情報を利用できた人物の犯行だと示唆しているわけではない。FBIに逮捕
スポンサーリンク
Capital Oneの1億人データ漏えいで内部犯行リスクに再び注目
IT起業ニュース
コメント