AWS S3がデフォルトの暗号化オプションによりアドミンの苦労と負担を取り除く

顧客がデータを暗号化してないことによるAmazon S3のセキュリティ事故は、慢性的に多い。被害企業の中には、某国防総省納入企業や、本誌TechCrunchのオーナー企業Verizon、大手コンサルティング企業Accentureなどの著名企業もいる。というわけで今日AWSは、S3上のデータが(なるべく)確実に暗号化されるための、5種類のツールセットを発表した

まず、これからのS3には、デフォルトで暗号化する、というオプションがある。その名のとおり、このオプションを指定すると、S3に放り込むデータはデフォルトで暗号化される。アドミンが暗号化されてないファイルのバケットを作ると、それが拒絶される、ということもない…ただ黙って暗号化される。絶対安全とは言えないが、アドミンのうっかりミスで暗号化されなかった、という人的ミスはなくなる。

次に、さらに念を押すかのように、S3の管理コンソール上では、守秘設定のない、パブリックにオープンなバケットの横に、よく目立つ警戒標識が表示される。これによりアドミンは、エンドユーザーのうっかりミスに気づくことができる。

そしてアドミンは、Access Control Lists(ACLs)により、S3の各バケットやオブジェクトのアクセス許容者を指定できる。これまでのパーミッションはデータに付随して移動するが、このバケットレベルのパーミッションなら、別のアドミンが管理する別のリージョンにバケットが移っても大丈夫だ。パーミッションは、そのバケットのレプリカにも適用される。

さらにアドミンは、オブジェクトの複製をAWSのKey Management Service(KMS)が管理するキーで暗号化できる。つまり、アドミン自身が暗号化キーを管理しなくても、S3のデータを確実に暗号化することができる。

そして、万一事故が生じたときには、レポートが提供される。そこにはS3内の各オブジェクトの暗号化ステータスなどが載っている。それは、今後の人的エラー対策のための、基本資料ともなる。

絶対確実なセキュリティ対策はありえないにしても、今度発表されたS3のデータ保護対策により、アドミンが確実にそして容易に、暗号化されていない情報の混入を防ぐことができるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。