お問い合わせ
AWS(Amazon Web Services)はサービスの成長と効率化を促進できるクラウドプラットフォームで、世界中でAWSは活用されています。
この記事ではAWSは安全に使用できるのか?情報漏洩の観点から情報漏洩の事例、原因、対策まで専門家が徹底解説いたします。
目次
AWSは情報漏洩のリスクがある?
AWSにも情報漏洩のリスクはあります。
AWSのセキュリティが甘いわけではないですが、AWS提供元がセキュリティを万全にしているから大丈夫と思い込んでいると危険です。
AWSでは、クラウドのセキュリティには責任を負うが、クラウド内のシステムのセキュリティに対する責任はユーザー側にあると明記しています。
出典:AWS責任共有モデル
AWSの情報漏洩が起きた事例
AWSの情報漏洩はあると答えましたが、実際にAWSを使用していて、情報漏洩が起きた事例をご紹介いたします。
VerizonのS3バケット設定ミス(2017年)
- 発覚日時: 2017年6月
- 影響を受けた人数:顧客約1,400万人
- 被害内容:顧客の個人情報(氏名、住所、電話番号、PINコードなど)
- 原因:S3バケットの脆弱性
概要
データ漏洩の原因は、Verizonの第三者ベンダーであるNice SystemsによるS3バケットの設定ミスでした。S3バケットがパブリックに設定されていたため、誰でもインターネットを通じてデータにアクセスできる状態になっていました。
セキュリティ研究者のChris Vickeryが、Shodanという検索エンジンを使って公開されたS3バケットを発見しました。
今回の事例では漏洩の可能性がある情報が不正利用の証拠は発見されませんでした。
出典:ITmedia
Capital Oneのデータ漏洩事件(2019年)
- 発覚日時: 2019年7月29日
- 影響を受けた人数: 約1億1000万人
- 被害内容: 顧客の個人情報(氏名、住所、電話番号、メールアドレス、生年月日、信用スコア、クレジット限度額、取引履歴など)
- 原因:WAFの脆弱性
概要
元Amazon Web Services(AWS)エンジニアのPaige Thompsonによる不正アクセスが原因でした。
Capital OneはAWSのクラウドサービスを利用していました。権限の関係上、攻撃者は直接AWSのサーバにアクセスできないため、Webアプリケーションファイアウォール(WAF)経由でAWSのサーバにアクセスを狙われた結果、WAFの設定ミスが原因で攻撃者に侵入されてしまい、クラウド上のサーバにアクセスしたのちに顧客情報などを盗まれてしまいました。
出典:Capital One
出典:TECH MONITOR
AWSの情報漏洩が起きる原因
これまで事例を紹介しましたが、なぜAWSで情報漏洩が起きるのか、原因を解説いたします。
- ユーザー設定のミス
- AWSの脆弱性
- サードパーティツールの脆弱性
- 認証情報の管理不備
ユーザー設定のミス
公開されている事例の中で最も多かった原因がユーザーの設定ミスによる情報漏洩です。
具体的にはS3バケットの設定がパブリックになっていると、誰でもインターネット経由でアクセス可能になります。悪意のある攻撃者は、パブリックになっているものの中から標的になりそうな企業を探し出しています。
AWSの脆弱性
AWSが提供するサービスやソフトウェアに脆弱性が存在する場合、それを悪用して不正アクセスが行われることがあります。
AWSは定期的にセキュリティアップデートを行っていますが、ゼロデイ攻撃(未確認の脆弱性からの攻撃)のリスクは完全には排除できません。
もし脆弱性を発見した場合はAWSに報告しセキュリティアップデートを促しましょう。
出典:AWS脆弱性レポート
サードパーティツールの脆弱性
紹介事例にもある通り、直接AWSに脆弱性がなくともAWSと繋がっている他のツールに脆弱性がある場合、その脆弱性を利用して不正アクセスされるケースもあります。
認証情報の管理不備
アクセスキーやシークレットキーが誤って公開されると、悪意のある第三者がそれを利用してAWSリソースにアクセスすることができます。GitHubなどの公開リポジトリに認証情報が含まれてしまうケースが典型的です。
AWS環境で情報漏洩が起きた場合の対処
もし、AWSを使用している環境で情報漏洩が起きた場合の対処について詳しく解説します。個人情報保護法の観点から、特定の情報漏洩時は報告が義務化されているので合わせて確認してください。
- 漏洩したデータの確認
- 影響を受けた関係者に報告
- フォレンジック調査を行う
漏洩したデータの確認
漏洩したデータの確認を行い、インシデントの詳細を把握します。
具体的には、セキュリティアラートやログを確認して不正アクセスのタイムラインと侵入経路を特定します。AWS CloudTrailなどのツールがあれば利用し、どのデータが漏洩したのか、その範囲を明確にします。
影響を受けた関係者に報告
影響を受けた関係者に報告します。組織内の関連部門(セキュリティ、法務、PRなど)にインシデントを報告し、対応チームを編成します。
顧客やユーザーに対しては、データ漏洩の事実、影響範囲、対策方法を速やかに通知し、必要に応じてパスワードリセットなどの案内を提供しましょう。
フォレンジック調査を行う
システムやデバイスにマルウェアが感染している可能性を払拭するためにもフォレンジック調査が必要です。
フォレンジック調査は、コンピュータやネットワーク機器、ログファイルなどを分析し、不正アクセスの原因や、具体的な被害状況を明らかする専門的な調査手法です。
脆弱性を放置すると、さらなる不正アクセスが発生する恐れがあるため、被害を受けた場合は、マルウェア感染や不正アクセスの調査を行い、被害を拡大させないことが重要です。
フォレンジック調査が有効な理由としては、以下の3つが挙げられます。
- 被害原因・侵入経路を特定できる
- 被害の規模を把握できる
- 被害の拡大を防げる
①被害原因・侵入経路を特定できる
フォレンジック調査では、不正アクセスの痕跡を分析し、被害の原因を特定します。
例えば、ある企業の担当者のログイン情報が不正に使用されたと疑われる場合、悪意のある人物が自社のネットワークに侵入した可能性があるため、被害の原因や侵入経路を特定するための適切な調査が必要となります。
この際、フォレンジック調査では、収集したデータを用いて、不正アクセスの方法、攻撃が行われた時間、侵入された経路、影響を受けたデータなどを解析します。
また調査を通じて得られた情報をもとに、セキュリティポリシーの更新、システムの強化、従業員への教育の強化など、具体的な対策につなげることができます。
②被害の規模を把握できる
フォレンジック調査では、不正アクセスによって流出した情報の種類、規模を把握することができます。
例えば「何の情報が漏れたか」「どのような影響を受けたか」などの情報をフォレンジック調査で具体的かつ正確に把握することで被害状況をはじめ、影響を受けた利用者がどう対応すべきか適切に通知することができます。
③再発防止や被害拡大を防げる
フォレンジック調査では、インシデントの原因となった脆弱性や攻撃手法を明らかにし、再発防止につなげることができます。
このように、フォレンジック調査は、情報漏えいやマルウェア感染の被害を受けた宿泊業者にとって、被害の拡大を防ぎ、信用回復につなげるための重要な手段となります。
デジタルデータフォレンジック
社内不正・横領・情報持ち出し・職務怠慢のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
AWSのセキュリティ対策
AWS使用環境においてセキュリティは重要になってきます。下記ではAWSセキュリティ対策について解説します。
- アクセス制限の強化
- データの暗号化
- 脆弱性管理
アクセス制限の強化
AWS環境のセキュリティを確保するために、アクセス制限の強化は不可欠です。ユーザーやサービスに必要最小限の権限のみを付与します。
具体的には、AWS IAM(Identity and Access Management)を利用して、特定のアクションやリソースへのアクセスを制限します。また、IAMロールを活用し、永続的なアクセス権限ではなく、必要な時だけ一時的なアクセス権限を付与するようにしましょう。
データの暗号化
データの暗号化は、セキュリティにおいてシンプルかつ有効な手段です。AWSでは、静止データと転送中のデータの両方を暗号化することが推奨されてます。
静止データの暗号化は、S3バケット、RDSインスタンス、EBSボリュームなどに対して、AWS Key Management Service(KMS)などを使用して暗号化を行いましょう。
転送中のデータについては、TLS(Transport Layer Security)などを使用して通信を暗号化しましょう。これにより、ネットワーク経由でのデータの傍受や改ざんを防止できます。APIゲートウェイやロードバランサーの設定でTLSを強制することも有効です。
脆弱性管理
脆弱性管理は、AWS環境のセキュリティを維持するために継続的です。まず、AWS InspectorやAWS Configなどを利用して、脆弱性スキャンとコンプライアンスチェックを定期的に実施しましょう。これにより、設定ミスや既知の脆弱性を早期に発見し、対策をができます。
ソフトウェアやライブラリのアップデートも重要です。定期的にセキュリティパッチを適用し、脆弱性を解消しましょう。アップデートをしていないとリスクがどんどん大きくなります。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
