Capital Oneの1億人データ漏えいで内部犯行リスクに再び注目

最近のCapital Oneの1億人分の個人データ漏えいは テクノロジー界の注目を再びクラウドのセキュリティーに集めることとなった。実際なにがあったのかについてはまだ不明な部分が多い。公開された起訴状はCapital One以外の企業を匿名としている。クラウド企業側は広報上の一大危機を迎えている。

ここでは単なる推測でなく、確実な事実に焦点を当てたい。不愉快ではあるが避けて通れない問題、つまりクラウドのセキュリティーだ。

皆が気づかないフリをしようとしているのは、クラウドプラットフォームが本質的に抱えるセキュリティー上の問題だ。つまりクラウドサービスの顧客はクラウド企業の従業員の誰がどれほどのアクセス権限を持っているのか知りようがない。クラウド上の自社データに対し管理者レベルのアクセス権が与えられているのは誰なのか?

クラウドの顧客Xはクラウド企業Yで誰がどんな権限を持っているのか分からない。仮にクラウド企業の社員が倫理的義務にあえて違反すると決めれば、その社員は認証情報を含む特権的な内部情報を悪用してデータに対する不正なアクセスができる。顧客Xのデータをコピーするだけでなく、勝手にシステムを改変したりすることも可能だ。

念のために断っておくが、これはCaptal Oneのデータ漏えいがクラウド企業の社員ないし内部情報を利用できた人物の犯行だと示唆しているわけではない。FBIに逮捕された容疑者の職歴にはAmazon Web Services(AWS) も含まれており、データがダウンロードされたのはAWSのサーバーからだとみられている。しかし犯行に使われた知識、技能は必ずしもAWSに関する詳細な内部情報を必要とせず、インターネットにアクセスできるコンピュータと必要な好奇心があれば入手できる程度のものだったかもしれない。

問題はもっと幅広いものだ。企業トップが契約書にサインし、多数の顧客情報を含む機密データを第三者、つまりクラウド企業に引き渡すとき、トップはクラウド・プラットフォームに内在するメリット、デメリットの双方を正確に認識している必要がある。

簡単に言えば、クラウドに業務を移した後はオペレーションンのすべてがクラウドのホスト側に支配される。最悪の場合、クラウド企業が倒産してしまえば顧客のデータはいきなり路頭に迷う。もちろんそんなことになれば弁護士が慎重に作文した契約書のどこかの条項に対する違反となるだろう。しかし契約書や契約書上の文言には、例えばクラウド企業やその契約社員が悪事を働くことを止める力はない。しかもたとえ悪事が行われてもクラウドの顧客側では知りようがないのが普通だ。

つまりこういう状況を簡単に解決できる特効薬はないと認識することが重要だ。 今回の事件は、クラウドホスト側にとってビジネスに好影響をもたらしそうない極めて不愉快な話題であっても、クラウドに内在する危険を率直に検討するにはいい機会となった。こうした事件がなければクラウド内部の人間による悪行が公開される可能性はないからだ。

画像:Getty Images

【編集部注】この記事は米国カリフォルニア州のセキュリティー企業であるUpgurdChris Vickery氏(クリス・ヴィッカリー)の寄稿だ。同氏は、サイバーセキュリティー・リサーチ担当ディレクターとしてVickery氏は25億人のオンラインデータの保護にあたってきた。

【Japan編集部追記】 司法省の起訴状ではデータがダウンロードされたのはCloud Computing Companyからとあり、企業名は明かされていない。アメリカ議会の下院監視・政府改革委員会はCaptal OneとAWSに対し議会休会中の調査に協力するよう求めている。なおAWSの日本語サイトには成功したクラウド化事例としてCapital Oneが紹介されている。

原文へ

(翻訳:滑川海彦@Facebook

サイバー攻撃をリアルタイムで止める「Confluera」が9億8000万円を調達

米国時間7月29日、またも大規模な侵害が明らかになった。Capital Oneが、ハッキングにより数年分のクレジットカードの申込の情報が流出したと発表したのだ。しょっちゅうハッキングがあるが、問題は企業はおびただしい数の攻撃からいかにして自社を守れるかということだ。2018年に設立されたパロアルトのスタートアップであるConflueraは、リアルタイムでこうした攻撃を止められるとする新しいツールを企業に提供しようとしている。

米国時間7月30日、ConflueraはLightspeed Venture Partnersが主導したシリーズAで900万ドル(約9億8000万円)を調達したと発表した。Microsoftの会長でSymantecのCEOだったJohn W. Thompson(ジョン・W・トンプソン)氏、SnowflakeのCEOでServiceNowのCEOだったFrank Slootman(フランク・スロートマン)氏、Palo Alto NetworksのCEOだったLane Bess(レーン・ベス)氏といった影響力のあるテック業界のエグゼクティブも支援している。

Conflueraのサイバーセキュリティに対するアプローチは注目を集めている。同社の共同設立者でCEOのAbhijit Ghosh(アビジット・ゴーシュ)氏はTechCrunchに「Conflueraはリアルタイムのサイバーセキュリティ企業だ。我々は決定論的にリアルタイムでサイバー攻撃を止める、業界初のプラットフォームだ」と語った。

ゴーシュ氏によれば、これを実現するために、同社のソリューションは顧客のインフラ全体を監視し、問題を見つけたら、攻撃を軽減する方法を推奨する。「我々は、使われているソリューションが多すぎることが問題だと考えている。必要なのは、インフラ全体を可視化し、複数のソースからのセキュリティ情報をもとに攻撃者の状況と対処方法を判断するプラットフォームだ」と同氏は説明する。

Conflueraに投資しているMicrosoft会長のトンプソン氏は、これはリアルタイムの検出、あるいはリアルタイムの対処以上のものだと語る。「これは単なる監査証跡ではなく、何をすべきかを教えてくれる。しかもリアルタイムで攻撃をブロックする。このことが、このプラットフォームのユニークな特徴であり、データサイエンスから得られる知見によって本当にリアルタイムで攻撃をブロックできる」。

Conflueraはまだ始まったばかりで、従業員は19人、このプラットフォームを使っている顧客は3社だ。まずは来週開催されるセキュリティ関連のイベントであるBlack Hatで正式に公開する。その後は、プロダクトの構築を続け、繰り返し発生するさまざまな攻撃を説明通りにブロックできることを証明する必要がある。

画像:sesame / Getty Images

[原文へ]

(翻訳:Kaori Koyama)

米金融大手キャピタル・ワンで1億人の個人データが流出

米金融大手でクレジットカード発行者でもあるCapital Oneが侵入をを受けたことを公表した。侵入行為が最初に発覚したのは7月19日だった。

現在同社のウェブページにデータ侵害に関する告知が掲示されている。

現在TechCrunchで把握していることは以下のとおり。

  • Capital Oneは、2005年から2019年の間に登録されたクレジットカード申請データが漏洩したと認識している。
  • 同社によると、約1億人の米国ユーザーおよび600万人のカナダユーザーが対象になっている
  • 漏洩した可能性のあるデータには「氏名、住所、郵便番号、電話番号、メールアドレス、生年月日、および自己申告による年収」のほか「信用スコア、貸し出し限度額、残高、支払履歴、連絡先情報」が含まれる。
  • Capital Oneの推測によると、米国ユーザー約14万人の社会保障番号と8万件の銀行口座番号が盗まれた。カナダでは約100万人の社会保険番号が侵害された。
  • 2016年、2017年、2018年にわたる延べ23日分の取引データが何者かに取得された。

司法省の告示によると、シアトルのエンジニア、Paige A. Thompsonが本データ侵害の疑いで米国時間7月29日に逮捕された。 起訴状の内容はここで読める。告示には、Capital Oneは、他のユーザーが同社サイトについて投稿したのを見たGitHubユーザーから侵害の知らせを受けたと書かれている。

[原文へ]

(翻訳:Nob Takahashi / facebook

AWS Lambdaをフル活用した無駄のないリソース管理ツールCloud CustodianをCapital Oneがオープンソース化

shutterstock_242413879

Capital Oneは巨大な組織で、金融サービス企業であることに関連したコンプライアンスの問題も多い。同社はたまたまAmazon Web Servicesの顧客でもあり、AWSの使い方に関するルールやポリシーを効率的に設定するためのツールを必要としていた。

昨年の7月に同社が開発を始めたツールが最終的にCloud Custodianとなり、今日(米国時間4/19)同社はシカゴで行われたAWSのイベントで、そのツールをオープンソースとしてGitHub上で提供する、と発表した。

Cloud Custodianプロジェクトの主席デベロッパーKapil Thangaveluは、こう語る: “Cloud Custodianはルールエンジンであり、AWSをより良く管理していくためのポリシーを、これを使って定義する。企業にはインフラ関連のリソースが数多くあり、どの企業にもそれらのリソースに関して達成すべきポリシーの集合がある”。

ポリシーの定義を整然と組織的なやり方で行うようになってから、同社のAWSリソースの使用量がそれまでの25%減り、Capital Oneのような巨大企業ともなると、その経費節減額はとてつもなく大きい。Cloud Custodianを開発する前は個々の要件ごとにスクリプトを書き、その全体を監督する者はいなかった。Cloud CustodianはCapital Oneに、中央集権的にポリシーを作ってモニタし管理するための手足を与えた。それまではポリシー政策に中央的管理というものがなく、複数のツールを適当に使っていた。

Cloud Custodian dashboard from Capital One.

Cloud Custodianのダッシュボード。写真提供: Capital One

このツールは、AWSの二つの新しいサービスによって可能になった。まず、何よりも便利だったのがCloudWatch Events(CWE)だった。これは1月にリリースされ、イベントのモニタリングが前よりもずっと効率的にできるようになった。アクションの有無を知るためにしょっちゅうAPIをポーリングするのではなく、ユーザーが関心を示しているイベントが生起したらCWEがリアルタイムで通知をくれるのだ。

もうひとつの突破口がLambda サービスで、昨年のAWS re:inventで発表されたこのサービスは、CWEのイベントトリガに対応して、一連のリソースを一定のルールに基づいてローンチする。“それを何秒間動かせ”といった、時間も指定できる。CloudWatch EventsとLambdaを組み合わせてCapital Oneは、超効率的なルールエンジンを作ることができ、それがCloud Custodianになった。

Lambdaが使えるとAWSのユーザー企業は、それほど頻繁ではないイベントのためにわざわざサーバーをセットアップしなくてよい。イベントがあれば、CWEがそのイベントに対応するLambdaのプロセスをトリガする、それだけだ。しかもそのプロセスが終われば、あとには何もない。それが、このシステムの独特の美学だ。必要がないときでもサーバーをしょっちゅう動かしていることに比べれば、リソースのオーバヘッドが相当大きく減る。

アドミニストレーターは、何のためにどんなルールがあるか、よく分かるようになり、ひいてはAWSのクラウドインフラストラクチャの全体がよく分かるようになり、詳細で確実なコントロールができる。そうするとすべてのインスタンスのコンプライアンスが確保され、使ってないリソースに金を払っている、という状態がなくなる。

同社がCloud Custodianをオープンソースにすることに決めたのは、これまでずっとオープンソースソフトウェアのお世話になってきたので、そのお返しをしたい、と考えたからだ。第二の、もっと実践的な動機はたぶん、ツールをオープンソースにすれば、自分たちだけでなくコミュニティがコードを見たりいじくったりするようになる。コメントも寄せられる。ソフトウェアのメンテナンスという肩の荷が、より多くの人の肩で担(かつ)がれるようになり、社内チームの負担がそのぶん軽くなる。

Capital Oneは、Cloud Custodianがオープンソースのプロジェクトとして離陸し、熱心なファンができることを期待している。今日の発表はそのための第一歩であり、ツールを軸とするコミュニティ作りの努力の始まりだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))