要約
- キャピタル・ワンは、2019年3月22日と23日に、外部の人物が設定の脆弱性を悪用したと発表した。刑事・規制記録には、より長い管理連鎖が記されている。誤設定された Web アプリケーションファイアウォールによりクラウド環境へのコマンド実行が可能になり、ロールの認証情報が取得され、その認証情報でストレージオブジェクトの列挙とコピーが行われ、監視によって不審な活動がタイムリーに封じ込められることはなかった。
- 通貨監督庁(OCC)はこの事件を単一のエンジニアリングミスとは特徴づけなかった。同意命令の所見は、同行の2015年のクラウド移行に遡り、不十分なリスク評価、不適切なネットワークセキュリティとデータ損失防止管理、不十分なアラート対応、内部監査の欠陥、経営陣を説明責任に問う取締役会の効果的な行動の欠如を指摘した。
- 責任は複数の面に存在したが、法的に交換可能ではなかった。連邦陪審員はペイジ・トンプソンを刑事行為で有罪とした。キャピタル・ワンは OCC の罰金8000万ドルを受け入れたが、当局の調査結果を認めも否定もしなかった。キャピタル・ワンとアマゾンに対する消費者訴訟は、申し立て段階で一部認められ、後に和解したため、民事訴訟では銀行とクラウドプロバイダーの間の過失配分は裁判では行われなかった。
- 主権に関する教訓は、国内クラウドリージョンを選択することでデータ保護が解決するわけではないということである。カナダの約600万人が影響を受け、そのうち約100万人の社会保険番号が漏洩した。所在地、保持、ID 権限、メタデータアクセス、暗号化権限、ロギング、規制機関による証拠へのアクセスは、一つのシステムとして統治されなければならない。
狭く説明された侵害
キャピタル・ワン侵害のよく知られたバージョンは簡潔である。ファイアウォールが誤設定され、攻撃者が Amazon Web Services 内のデータに到達し、1億人以上に関連する情報が持ち出された。この文のどの部分も正しい方向を指している。しかし、説明責任の説明としては狭すぎる。この事件を、他は制御された環境の端での単一の設定ミスのように聞こえさせる。
公式記録は、より構造的なものを描写している。キャピタル・ワンの2019年7月29日の SEC 提出書類によると、同社は7月19日に、外部の個人が特定の設定の脆弱性を悪用して個人情報を入手したと判断した。重要な不正アクセスは3月22日と23日に行われ、責任ある開示報告が7月17日に到着し、同社は設定を修正し連邦法執行機関と協力したと述べている。また、クラウド運用モデルにより、問題が判明した後、同社は迅速に診断し修正できたとしている。
この最後の点は重要である。キャピタル・ワンはクラウド自体を原因として提示しなかった。同社は、関連するインフラ要素はクラウドでもオンプレミスでも存在し得ると強調した。この見解は技術的に防御可能である。リバースプロキシや Web アプリケーションファイアウォールはどちらの環境でも意図しない中継になり得る。サービス資格情報はどちらの環境でも強力すぎることがあり得る。正当な ID がどちらの環境でも暗号化データを読み取り得る。しかし、クラウドはそれらの条件が組み合わさる速度、抽象化、規模を変える。アプリケーション境界を越えるコマンドがインスタンスメタデータサービスに到達し得る。一時的な資格情報が API を介して他の場所から行使され得る。ストレージロールが1台のサーバーのディスクをはるかに超えるデータレイクを列挙し得る。クラウド運用を効率的にするのと同じ自動化が、権限エラーを侵入者にとって効率的にする可能性がある。
キャピタル・ワンは現在のインシデント情報ページで、米国の約1億人とカナダの約600万人が影響を受けたとしている。最大のデータカテゴリは、2005年から2019年初頭までクレジットカード商品の申し込み時に消費者および中小企業から提供された情報(氏名、住所、郵便番号、電話番号、電子メールアドレス、生年月日、自己申告収入)である。信用顧客データの一部には、スコア、限度額、残高、支払履歴、連絡先データ、2016年、2017年、2018年の23日間の取引データの断片が含まれていた。同社は、約14万の米国社会保障番号、約8万の関連銀行口座番号、約100万のカナダ社会保険番号が漏洩したと報告した。クレジットカード番号とログイン資格情報は漏洩していないとしている。
これらの区別は誇張を防ぐが、管理の問題を数字に還元するものではない。申請データは、信用判断の後も長く ID に敏感であり続ける可能性がある。収入、住所履歴、生年月日、信用状態、政府識別子は、システム全体で組み合わせることができる。したがって、この事件はバケットがプライベートであるかどうかだけの問題ではなかった。アプリケーション向けロールが保存されたコーパスに到達できた理由、ローカルメタデータ境界での資格情報パスが外部データパスになり得た理由、監視がギャップを埋めなかった理由、約14年間収集されたデータが到達可能なセット内に残っていた理由が問題だった。
年表と変化する説明責任の形
日付は、組織が合理的に知り、行動できることを変える。主要な年表は、企業の開示、後の起訴と有罪判決、規制当局の命令、裁判記録から、各情報源を同じ種類の証拠として扱わずに作成できる。
| 日付 | 出来事と説明責任の重要性 |
|---|---|
| 2015年頃 | OCC は後に、キャピタル・ワンが重要な技術運用をクラウド環境に移行する前に効果的なリスク評価プロセスを確立しておらず、適切なクラウドリスク管理を確立していなかったと認定した。 |
| 2019年3月12日 | 差し替え起訴状は、この日頃に始まるキャピタル・ワンへの無許可アクセスの一連の行為を起訴した。キャピタル・ワンは別途、3月22日と23日を発表した重要なデータアクセスの日付として特定した。 |
| 3月22日〜23日 | キャピタル・ワンは、外部の個人がこの2日間にデータを入手したと述べた。起訴状は、キャピタル・ワンのデータをトンプソン管理下のサーバーにコピーした3月22日のコマンドを起訴した。 |
| 4月〜5月 | 民事訴訟の申し立て段階の説明では、原告はログが追加の接続または接続試行を示し、公開投稿がその活動を説明していると主張した。これらは、却下申し立てを判断するためだけに真実として受け入れられた告訴状の主張であった。 |
| 7月17日 | GitHub ユーザーが責任ある開示チャネルを通じてキャピタル・ワンにデータ盗難の可能性を警告した。内部アラートが最終的な解決に至ったのではなく、この外部報告が発見のきっかけとなった。 |
| 7月19日 | キャピタル・ワンは無許可アクセスが発生したと判断し、設定の問題を修正し、FBI に連絡した。経営陣は、同社の2020年委任状説明書によると、この件を取締役会に報告した。 |
| 7月29日 | キャピタル・ワンは侵害を発表した。FBI がペイジ・トンプソンを逮捕し、政府は刑事告訴状を提出した。 |
| 11月19日 | AWS がインスタンスメタデータサービスバージョン2をリリースし、セッション指向のリクエスト保護と、新しい方法を要求するかメタデータアクセスを無効にする顧客コントロールを追加した。 |
| 2020年4月30日 | FFIEC がクラウドリスクに関する声明を発表し、金融機関は共有責任を理解しなければならず、システムがクラウドで動作するという理由だけで管理が効果的であると想定できないと強調した。 |
| 2020年8月5〜6日 | OCC が8000万ドルの民事罰金と詳細な差止命令を発行。連邦準備制度理事会が持ち株会社に対して調整命令を発行。 |
| 2020年9月 | 連邦地方裁判所がキャピタル・ワンとアマゾンによる消費者訴訟却下申し立てを一部認め、一部却下。この決定は申し立てが法的に十分かどうかを審理したものであり、申し立てが証明されたかどうかを判断したものではない。 |
| 2022年6月 | 連邦陪審員が7日間の審理の後、トンプソンに電信詐欺、無許可アクセス、保護されたコンピュータへの損害を与えた罪で有罪判決。 |
| 2022年8月〜9月 | OCC が2020年の差止命令を8月31日に終了。連邦裁判所が9月13日に1億9000万ドルの消費者クラス和解を最終承認。 |
| 2022年10月 | トンプソンに執行猶予期間と5年間の保護観察(位置情報およびコンピュータ監視を含む)が言い渡される。 |
3月12日と3月22日の明らかな不一致は、1つの日付に強制する必要のある矛盾ではない。2021年の差し替え起訴状は、3月12日頃に始まるより広い期間の無許可コンピュータアクセスを起訴した。キャピタル・ワンの発表は、インシデント報告の中心となるデータアクセスに3月22日と23日を使用した。年表は、起訴された一連の行為と企業のデータ流出の説明との間のこの違いを保持すべきである。
同じ原則が影響人口にも適用される。最初の会社発表では、米国の約1億人、カナダの約600万人とされていた。米国の和解管理者は後に、和解クラスの米国消費者を約9800万人と説明した。どちらの数字も、正確な普遍的な数値に暗黙的に変換されるべきではない。それらは異なる記録、異なる段階、異なる定義に属する。
メタデータ境界が資格情報境界になった経緯
技術連鎖はサーバーサイドリクエストフォージェリ(SSRF)から始まる。SSRF 状態では、外部呼び出し元がサーバーサイドコンポーネントに、その呼び出し元によって選択または影響を受けるリクエストを実行させる。リクエストはサーバーのネットワーク位置から行われるため、公開インターネットから直接は到達できない宛先に到達する可能性がある。セキュリティ問題は、単に URL が受け入れられたことではない。アプリケーションが外部者の意図をより信頼されたネットワークコンテキストに運ぶ代理人になることである。
司法省のキャピタル・ワン事件ページは、侵入が誤設定された Web アプリケーションファイアウォールを通じて発生したと説明している。裁判前に提出された差し替え起訴状は、トンプソンがスキャナーを作成・使用して、Web アプリケーションファイアウォール設定が外部コマンドをサーバーに到達・実行させるクラウド顧客を特定したと主張した。そのコマンドにより、顧客アカウントまたはロールのセキュリティ資格情報が取得され、その資格情報を使用してストレージバケットを一覧表示し、ロールに権限のあるオブジェクトをコピーしたと主張した。起訴状は「クラウドコンピューティング会社」という中立的な用語を使用したが、公開民事記録とキャピタル・ワン自身の提出書類は、その環境を AWS として特定している。
EC2 インスタンスメタデータサービスは、仮想マシン上のソフトウェアがそのランタイム環境について学習し、アタッチされた ID ロールに関連付けられた一時的な資格情報を取得できるようにするために存在する。これは、長期有効なアクセスキーをファイルに保存する代わりに有用である。ただし、この設計では、インスタンスからのアクセスに意味があることを前提としている。Web に面したコンポーネントに任意の内部リクエストを発行させることができる場合、「インスタンスローカル」は「許可されたワークロードコード」と同等ではなくなる。
AWS の2019年の IMDSv2 の説明は、メタデータアドレスをリンクローカルエンドポイントとして特定し、メタデータにはインスタンスにアタッチされたロールの一時的な資格情報が含まれる可能性があると説明している。バージョン2では、ソフトウェアが最初に HTTP PUT リクエストを行ってセッションを確立し、シークレットトークンを受信し、その後そのトークンを以降のメタデータリクエストで提示する必要がある。AWS は、このプロトコルを、一般的なオープン Web アプリケーションファイアウォール、オープンリバースプロキシ、SSRF の弱点、特定のレイヤー3ファイアウォールまたはネットワークアドレス変換エラーに対する耐性を追加するために設計した。顧客はバージョン2を要求するか、メタデータアクセスを完全に無効にすることができた。
重要な分析点は、プロトコルの改訂が事後的に欠陥を証明するわけでも、顧客の設定がプラットフォーム設計者をすべての設計責任から免責するわけでもないということである。ローカルな信頼の前提は複数の層で強化できる。キャピタル・ワンは WAF を制約し、メタデータエンドポイントへの出力を制限し、ロールを絞り込み、到達可能なストレージを制限し、異常な API 使用を検出し、保持データを削減できた。AWS は、透過プロキシや SSRF パスを通じてメタデータプロトコルを再利用しにくくすることができた。多層防御は、アプリケーションエラーが自動的に ID 資格情報に成熟すべきではなく、ID 資格情報が自動的に大規模なデータエクスポートに成熟すべきではないことを認識する。
Web アプリケーションファイアウォールは侵害全体ではなかった
インシデントをファイアウォールの設定ミスと呼ぶと、3つの別々の質問が隠される可能性がある。第一に、なぜ信頼されていないリクエストがファイアウォールまたはその背後にあるコンポーネントに内部宛先に到達させることができたのか。第二に、それが起こったときにどの ID が露出したのか。第三に、その ID は何ができたのか。
1つ目はアプリケーションとネットワークパスの問題である。Web アプリケーションファイアウォールは通常、敵意のある入力をアプリケーションに到達する前にフィルタリングする制御として理解されている。このインシデントでは、関連する設定がそれを内部リソースへのルートの一部にした。この逆転により、クラウドチームがエッジ制御をテストする方法が変わるべきである。WAF は公開境界でのルールセットであるだけでなく、実行コンテキスト、出力到達可能性、ヘッダー、メソッド、アタッチされた ID を持つコードである。セキュリティレビューは、制御自体が混乱したときに何に到達でき、何を偽装できるかを問わなければならない。
2番目の質問はメタデータ資格情報に関するものである。一時的な資格情報は、重要な点で埋め込まれた長期有効なキーよりも安全である。ローテーションし、期限切れになり、ロールに集中管理できる。しかし、「一時的」は期間を説明するものであり、特権を説明するものではない。攻撃者が現在の資格情報を繰り返し取得できる場合、または有効期間中に資格情報を使用して大規模なデータセットをコピーできる場合、ローテーションは被害を防げない。したがって、資格情報の衛生には、資格情報が発行される経路とそれが持つ権限が含まれなければならない。
3番目の質問は最小権限である。起訴状は、取得されたアカウントが対象ストレージを一覧表示およびコピーするために必要な権限を持っていたと主張した。民事裁判所の2020年9月の却下申し立て命令は、その手続き段階で受け入れられた申し立てとして、アマゾンによる、おそらく意図よりも広い権限によって悪化したアプリケーション層ファイアウォールの設定ミスの説明を記録している。また、ストレージとデータレイクへのアクセスに関する原告の申し立ても記録している。これらの箇所は裁判所の判断ではない。しかし、裁判所の処分が、刑事侵入が、セキュリティ上の決定と消費者被害との間の主張された因果連鎖を法律上必ずしも断ち切るものではないことを示していないという点で有用である。
したがって、効果的なレビューは「WAF は修正された」で終了することを避けるべきである。完全な特権グラフを再構築するべきである。公開リクエストからプロキシへ、プロキシからメタデータエンドポイントへ、メタデータエンドポイントからロールセッションへ、ロールからストレージ一覧へ、ストレージ一覧からオブジェクト読み取りへ、オブジェクト読み取りから復号パスへ、API コールからネットワーク出力へ。すべてのエッジには所有者、ビジネス正当性、予防制御、テレメトリが必要である。1つの欠陥ルールを削除すると既知のルートは止まるが、ID とデータのアーキテクチャが適切であったことを確立するわけではない。
暗号化はメディアを保護したが、権限のある悪用は防げなかった
キャピタル・ワンは、標準的な慣行としてデータを暗号化し、特定のフィールド(特に社会保障番号と口座番号)をトークン化したと述べた。また、状況によりアクセスされたデータの復号が可能であったが、トークン化されたデータは別の方法と鍵を使用するため保護されたままであると述べた。これは、「データは暗号化されていた」という一般的な主張が管理の問題を解決するという考えに対する重要な修正である。
保存時の暗号化は、主にストレージメディア、スナップショット、または基盤となるストレージが許可されたサービスパスの外部でアクセスされた場合にデータを保護するように設計されている。アプリケーションは依然としてデータを読み取る必要がある。クラウドストレージと鍵管理システムは、したがって、ポリシーを満たす ID に対して情報を復号する。攻撃者がワークロードと同じ読み取り権限を持つ資格情報を取得すると、暗号化は正確に設計されたとおりに機能しながら、許可されていない人間が許可されたマシン ID を使用して平文を解放する可能性がある。
これは暗号化に対する議論ではない。権限を分離するための議論である。公開制御にさらされたロールは、広範なデータ読み取りおよび鍵使用権限を持つべきではない。機密性の高いフィールドは、一般的なストレージ読み取り ID が越えられないサービス境界の下でトークン化または暗号化されるべきである。鍵ポリシー、データポリシー、ロールポリシーは、1つの許可決定としてレビューされるべきである。そうしないと、3つの個別に妥当な設定が交差して、それらの所有者の誰も意図しなかったアクセスを許可する可能性がある。
この事件はまた、管理報告書がカバレッジと結果を区別すべき理由を示している。「100%のオブジェクトが暗号化されている」は真実であるが、機密性リスクは高いままである。より有用な取締役会の指標は、各ランタイムロールによって読み取り可能な機密オブジェクトの割合、どの ID が復号を呼び出せるか、公開ワークロードがそれらのパスに表示されるか、およびロールが通常のプレフィックス、ボリューム、リージョン、または時間パターンの外でどのくらいの頻度で読み取りを行うかを示すものである。
検知は対応が成功する前に失敗した
キャピタル・ワンの責任ある開示プログラムは、外部の人物がそれを使用したときに機能した。同社は7月17日に報告を受け、7月19日に侵害を確認し、問題を修正し、FBI に連絡し、7月29日にインシデントを発表し、迅速な逮捕を支援した。これらは意味のある対応の事実である。しかし、内部管理システムが3月の活動を解決に導かなかった理由には答えていない。
OCC の所見は、そのギャップをより高いレベルで扱っている。民事罰金同意命令において、通貨監督官はキャピタル・ワンが適切なクラウドリスク管理、適切なデータ損失防止管理、および効果的なアラート処理を確立していなかったと認定した。キャピタル・ワンはこれらの所見を認めも否定もしなかった。「処理」はアラートを生成するだけではない。イベントが良性であるか、エスカレーションされるか、封じ込められるか、証拠をもってクローズされるかを決定するプロセスである。
クラウド環境は豊富なテレメトリを生成する。ロールの想定、メタデータの使用、ストレージの一覧表示、オブジェクトの読み取り、API 送信元アドレス、出力量、拒否された呼び出し、ポリシー変更、データ分類イベントなどである。より多くの信号が自動的に検知を生み出すわけではない。プログラムはすべての関連イベントを収集しても、ルールがシーケンスを相関させない場合、しきい値がロールの通常の動作に感応しない場合、アラートに説明責任のある所有者がいない場合、またはクローズ理由が独立してレビューされない場合に失敗する可能性がある。
外部報告が発見につながったという事実は、対応の成功と保証の失敗の両方として記録されるべきである。成功はチャネルが存在し、監視され、行動を可能にしたことである。失敗は、4か月前のアクセスパスが、銀行自身の管理が最終的な封じ込めを生み出す前に、公開活動を通じて発見可能であったことである。責任ある開示は貴重な外部センサーである。しかし、資格情報の取得、異常なバケットの列挙、大規模なオブジェクトコピーの内部検知の代わりと見なされるべきではない。
OCC は侵害を移行ガバナンスの失敗として扱った
最も強力な公開説明責任の記録は、技術的な事後分析ではない。OCC の2020年執行パッケージである。同局の罰金発表は、銀行が重要な技術運用をパブリッククラウドに移行する前に効果的なリスク評価プロセスを確立せず、欠陥をタイムリーに修正しなかったと述べている。同局は8000万ドルの罰金を科し、銀行の通知と是正措置を評価し、責任あるイノベーションには依然として健全なリスク管理と内部統制が必要であると述べた。
同意所見は異常に具体的である。OCC は、2015年頃、銀行が移行前に効果的なリスク評価を確立できなかったと認定した。ネットワークセキュリティ管理の設計と実装、データ損失防止、アラート処理に欠陥があると認定した。内部監査が多くの管理上の弱点とギャップを特定できず、特定された弱点を監査委員会に効果的に報告できず、取締役会が監査によって提起された特定の懸念について経営陣を説明責任に問う効果的な行動を取れなかったと認定した。キャピタル・ワンは手続きの費用を避けるために命令に同意し、所見を明示的に認めも否定もしなかった。
この枠組みは説明責任の単位を変える。もし事件が2019年に作られた1つの悪い WAF ルールであれば、是正措置はエンジニア、変更レビュー、即時の制御に集中できる。もし関連する失敗が2015年の不十分に評価された運用モデルに始まったのであれば、責任あるシステムには移行ガバナンス、クラウド制御設計、セカンドラインの挑戦、内部監査、委員会報告、経営陣の是正措置、取締役会のエスカレーションが含まれる。
付随するOCC 差止命令は、そのより広い範囲を運用可能にした。少なくとも3人の取締役からなるコンプライアンス委員会、書面による是正措置計画、技術リスク評価の改善、クラウド運用リスク管理、独立したリスク管理、制御テスト、内部監査を要求した。クラウド計画は、境界セキュリティ、機密情報の特定と保護、不正開示の防止と検出、コンテナ化オブジェクトの設定管理に対処しなければならなかった。独立したリスク管理は、包括的なリスクと制御のユニバースを定義し、固有および残余のサイバーリスクのファーストライン評価に挑戦しなければならなかった。
命令の制御テスト要件は特に重要である。キャピタル・ワンは、関連するクラウド制御のインベントリを開発し、リスクベースのテスト計画をそのインベントリに整合させ、ギャップを追跡し、是正措置を講じ、または正式にリスクを受け入れなければならなかった。内部監査は、経営陣による技術資産、設定可能なデバイス、ソフトウェアのインベントリの完全性と正確性を検証し、監査ユニバースを検査上の懸念にマッピングし、侵害の根本原因分析からの教訓を組み込み、監査カバレッジを改訂し、スタッフの専門知識を評価し、監査委員会への報告を改善しなければならなかった。
これらの義務は、繰り返し発生するクラウドガバナンスの誤りに答えるものである。企業は制御カタログと監査計画を持っていても、それらの間に信頼できる関係がない可能性がある。制御カタログには経営陣が存在すると信じているものが含まれている。資産インベントリにはチームが運用していると信じているものが含まれている。監査ユニバースには監査がレビューを期待するものが含まれている。これらのセットが整合されていない場合、公開ロール、メタデータパス、ストレージバケット、または設定エンジンが所有権モデルの間に位置する可能性がある。OCC 命令は、セットが整合しているという証拠を要求した。
取締役会の説明責任は証拠であり、会議の頻度ではない
キャピタル・ワンの2020年委任状説明書によると、経営陣は7月19日の発見後すぐに取締役会にインシデントを報告した。複数の委員会の独立メンバーと全取締役会は、インシデントと対応に関して20回以上会合を開いた。取締役会は外部の専門家を関与させ、根本原因と是正措置に関する報告を受け、監督を強化し、リスク委員会に強化されたサイバーガバナンスのレビューにおける主導的役割を割り当てた。経営陣は、企業サイバー問題とエスカレーションのための上級委員会を設立した。
これらは正当なガバナンス対応であるが、会議の回数は制御が機能していることを証明できない。OCC の所見は、監査の弱点が効果的に表面化されず、経営陣がいくつかの未解決のギャップについて説明責任を問われなかった侵害前の期間に焦点を当てていた。したがって、有用な比較は「前は会議が少なく、後は多かった」ではない。取締役会に届く情報が活動報告から制御証拠に変わったかどうかである。
OCC 命令は、その証拠が何をサポートすべきかを定義した。取締役は、タイムリーな是正措置を確保し、措置が効果的であることを確認し、十分な人員とシステムを確保し、経営陣を説明責任に問い、適切かつタイムリーな報告を要求し、不遵守に対処することが求められた。取締役会は経営陣、委員会、第三者に依存することができたが、依存は是正措置を確実にする義務を取り除かなかった。
クラウドメタデータとストレージリスクに関して、取締役会品質のパケットは具体的な質問に答えるべきである。インターネットに到達可能なワークロードのうち、インスタンスメタデータにアクセスできるのはいくつか。そのうち、より強力なセッションプロトコルを必要とするのはいくつか。メタデータを完全に無効にできるのはいくつか。公開ロールのうち、機密オブジェクトストアを一覧表示または読み取りできるのはいくつか。各ロールが1つの資格情報の有効期間内に取得できる最大データ量は。データが承認されたネットワークまたはリージョンを離れるのを防ぐ制御は。確認証拠なしにクローズされたアラートはいくつか。クラウド監査項目で期限を過ぎたものはどれか、残余リスクを受け入れた役員は誰か。
これらの質問のどれも、取締役にファイアウォールの設定を求めていない。経営陣が主張する運用境界を実証できるかどうかを尋ねている。それが管理と監督の違いである。取締役がすべての API パラメータを知る必要はないが、外部の研究者よりも先に危険な組み合わせを可視化する報告システムが必要である。
共有責任は管理マップであり、責任放棄ではない
AWS はクラウドセキュリティをプロバイダーと顧客の間で共有されるものと説明している。AWS 共有責任モデルの下では、AWS はクラウドサービスを実行するインフラストラクチャを保護し、顧客の責任はサービスの選択によって異なり、通常は顧客データ、ID とアクセス、アプリケーションソフトウェア、OS 設定、ファイアウォール設定、暗号化の選択、トラフィック保護を含む。EC2 のようなインフラストラクチャサービスの場合、顧客はフルマネージドサービスよりもはるかに多くの運用スタックを制御する。
このモデルは、カテゴリの誤りを防ぐので有用である。コンピュートをレンタルすることは、プロバイダーを顧客のアプリケーション権限の運用者にするわけではない。しかし、この図はガバナンスの始まりに過ぎない。多くの重要な制御は線を越える。プロバイダーはメタデータサービスを設計し、顧客はそれを使用するかどうか、どのように使用するかを決定する。プロバイダーは ID ポリシー機構を提供し、顧客はロールと権限を定義する。プロバイダーはログを生成し、顧客はそれらを有効にし、保持し、ルーティングし、調査する。プロバイダーはリージョンの選択肢を提供し、顧客は法的義務を満たすリージョンとアーキテクチャを選択する。プロバイダーはより安全なデフォルトを可能にし、顧客は既存のワークロードを移行し、それらを強制する必要がある。
FFIEC のクラウドコンピューティング声明は、金融セクターへの影響を明確にしている。経営陣は、システムがクラウド環境で動作するという理由だけでセキュリティと復元力の制御が存在すると想定すべきではない。声明は、契約が当事者の責任を特定すべきであるが、金融機関は安全かつ健全な運営とコンプライアンスに対して責任を負い続けると述べている。ガバナンス、クラウドアーキテクチャ、ID、データ管理、脆弱性管理、監視、インシデント対応、事業継続、監査を接続されたプラクティスとして強調している。
したがって、共有責任は、テストするのに十分な精度を持つ制御マトリックスに変換されなければならない。すべての制御について、マトリックスは誰が設計し、誰が設定し、誰が運用し、誰がアラートを受け取り、誰が有効性を検証し、どのような証拠が保持され、証拠が不足している場合に誰が行動するかを特定すべきである。「顧客責任」のようなラベルは管理責任者ではない。大規模な銀行では、「顧客」はプラットフォームエンジニアリング、アプリケーションチーム、クラウドセキュリティ、データガバナンス、ID エンジニアリング、エンタープライズリスク、内部監査、法務、またはサプライヤーを意味する可能性がある。顧客組織内のあいまいさは、顧客とプロバイダーの間のあいまいさよりも危険である可能性がある。
また、共有責任図は民事責任を決定するものではない。契約条件、表明、技術設計、通知義務、因果関係、州法、証明された事実すべてが重要である。このモデルは期待される運用を導くことができるが、過失の司法上の配分ではなく、取締役会に免責として提示されるべきではない。
刑事責任、規制責任、民事エクスポージャー
公開記録は、それぞれ異なる法的地位を持ついくつかの形態の説明責任を支持している。
刑事責任が最も明確である。司法省の量刑発表は、連邦陪審員がトンプソンに電信詐欺、保護されたコンピュータへの無許可アクセス5件、保護されたコンピュータへの損害の罪で有罪を宣告したと述べている。検察官は、彼女がクラウドアカウントをスキャンして設定ミスを特定し、それらを使用してデータとコンピューティング能力を取得し、30以上のエンティティにアクセスしたことを示した。彼女は執行猶予期間と5年間の保護観察を言い渡された。この裁定された刑事行為は、偶発的な発見として和らげられるべきではない。
規制上の説明責任は銀行に焦点を当てていた。OCC 罰金命令は最終同意命令であるが、キャピタル・ワンは監督官の所見を認めも否定もしなかった。連邦準備制度理事会の協調執行発表は、持株会社がリスク管理、ガバナンス、サイバーセキュリティ、情報セキュリティ管理を強化しなければならないと述べた。添付の連邦準備制度理事会同意命令は、親会社の取締役会がそのリソースを使用して銀行が OCC 命令に従うことを確保し、取締役会による監督のための書面による計画を提出することを要求した。
民事エクスポージャーはより広範でしたが、最終的な過失についてはあまり決定的ではありませんでした。消費者は過失、契約、不当利得、通知、消費者保護の理論でキャピタル・ワンとアマゾンを訴えました。2020年9月、地方裁判所は被告の却下申し立ての一部を認め、一部を却下しました。ほとんどの過失請求は存続しましたが、ワシントン州の過失請求といくつかの当然過失理論は却下されました。裁判所はその段階で、トンプソンの刑事行為が被告の過失を必ずしも取って代わるものではないと結論付けました。却下申し立ては適切に申し立てられた主張を真実として受け入れるため、この判決は請求が進められることを確立したものであり、キャピタル・ワンまたはアマゾンが主張された行為を行ったことを確立したものではありません。
この事件は、本案審理ではなく和解で終了しました。最終承認命令は、1億9000万ドルの非返還型基金、ID 防御および復元サービス、およびビジネス慣行に関するコミットメントを承認しました。和解はキャピタル・ワンとアマゾンに対する請求を解決しました。承認は、裁判所が交渉による解決がクラスアクション規則の下で公正、合理的、適切であると判断したことを意味します。銀行、AWS、攻撃者の間の侵害責任の割合を配分したわけではありません。
この区別は重要である。「誰が責任を負うのか」というフレーズは、1つの誤った答えを招く可能性があるからである。トンプソンは刑事行為で有罪となった。キャピタル・ワンは同意所見に基づく規制制裁を受け、是正義務を受け入れた。キャピタル・ワンとアマゾンは、部分的に存続し和解された民事請求に直面した。プロバイダーの後の設計変更は予防に関連するが、法的過失の認容ではない。各声明には情報源と手続き上の立場がある。それらを1つの一般化された評決に組み合わせるのは不正確であろう。
IMDSv2 とより安全なデフォルトのガバナンス
AWS は、キャピタル・ワンが侵害を開示してから4か月も経たない2019年11月に IMDSv2 を導入しました。AWS のローンチノーティスは、不正なメタデータアクセスに対する多層防御と説明しました。顧客は、新規または実行中のインスタンスで強化されたリクエスト方法を要求するか、メタデータアクセスをオフにすることができました。バージョン1は互換性のために利用可能のままでした。
IMDSv2 のセッショントークンは、いくつかの混乱した代理人パスに対する摩擦を生み出します。単純な GET リクエストを転送するプロキシは、初期の PUT を許可しない可能性があります。転送ヘッダーを挿入するリバースプロキシは、トークン作成のために拒否される可能性があります。トークンはインスタンスに結び付けられており、任意のマシンから単純に再生することはできません。ホップ制限により、メタデータ応答がネットワーク層を介して伝わる距離を制限できます。これらは貴重なプロトコル制御です。なぜなら、アプリケーションとプロキシのミスの結果を減らすからです。
これらは最小権限の必要性を取り除くものではありません。敵意のあるコードが実際にインスタンス上で実行される場合、正当なコードと同様にトークン交換を実行できる可能性があります。脆弱な SSRF が任意のメソッドとヘッダーを許可する場合、保護は不完全である可能性があります。アタッチされたロールが不要なデータレイクを読み取ることができる場合、残留結果は依然として高いままです。したがって、メタデータの強化は、ロールの設計、出力制御、データセグメンテーション、監視の代わりではなく、シーケンス内の1つの層です。
デフォルトには時間的な側面もあります。2019年、顧客は利用可能になった後、より強力な方法を選択して強制する必要がありました。AWS は後に、IMDSv2-by-default のロードマップを発表し、コンソールのクイックスタートと新しくリリースされたインスタンスタイプをバージョン2に向けて移行しましたが、互換性オプションは保持されました。この進展は、プラットフォームガバナンスのジレンマを示しています。即時の必須変更は既存のソフトウェアを壊す可能性があります。長期にわたるオプション性は、古い前提をそのまま残します。プロバイダーは移行を測定可能にし、アカウントレベルの強制を提供し、残りのバージョン1の使用を公開し、明確な方向性を設定する必要があります。顧客は、オプションのセキュリティアップグレードを、所有者と期限を持つリスク決定として扱うべきであり、機能バックログとして扱うべきではありません。
取締役会にとっての教訓は、デフォルトの負債について尋ねることです。いくつのワークロードがまだレガシーメタデータモードに依存していますか?なぜですか?無効にすると何が壊れますか?より低いホップ制限に耐えられないアプリケーションはどれですか?新しい例外を防ぐ組織ポリシーはどれですか?会社は、買収したアカウントや開発環境がずれていないことをどのように知っていますか?利用可能だが測定されていない安全な機能は、インベントリと強制に結び付けられた移行プログラムよりも保証が少なくなります。
データの所在地は論理アクセスを封じ込めなかった
侵害は米国とカナダの両側の人々に影響を与えました。カナダプライバシーコミッショナー事務局は、キャピタル・ワンが600万人のカナダ人が影響を受け、その一部の社会保険番号がアクセスされたと報告した後、調査を開始しました。キャピタル・ワンのカナダのインシデントページは、国固有の通知とサポートを提供しました。国境を越えた影響は、所在地を抽象的なクラウド調達の質問から説明責任の質問に変えます。
ここでレビューされた情報源は、影響を受けたすべてのオブジェクトの正確な AWS リージョンを確立しておらず、カナダの記録が別のカナダリージョンに保持されていたことも示していません。その欠如は保存されるべきです。データ主体の国籍やグローバルクラウドブランドからストレージの場所を推測するのは無責任でしょう。記録が確立しているのは、1つのインシデントが異なる法制度と規制制度によって統治される大規模な人口に影響を与えたことです。
AWS はデータプライバシー資料で、顧客が顧客コンテンツを制御し、プロバイダーと顧客の義務は共有責任モデルに従うと述べています。同社の現在のデジタル主権フレームワークは、ワークロードの実行場所、データアクセス、復元力、制御に関する顧客の選択を強調しています。これらの機能は関連しますが、リージョンの選択は完全な主権の結果ではありません。
所在地は、サービスが通常の運用下でデータを保存または処理するように設定されている場所に答えます。セキュリティは、誰がサービスにデータを開示させることができるか、どこで資格情報を行使できるか、ログとバックアップがどこに行くか、サポートアクセスがどのように制御されるか、エクスポートされたデータが選択された境界を越えることができるかにも答えなければなりません。キャピタル・ワンの連鎖では、API 資格情報がディスクへの物理的近接性よりも重要でした。ロールが許可されたと受け入れられると、ストレージはサービスインターフェースを通じてオブジェクトを配信できました。国内リージョンは、それだけではその論理パスを防げなかったでしょう。
したがって、主権管理には少なくとも4つの層が必要です。1つ目は配置(承認されたリージョン、レプリケーション設定、バックアップ、分析、災害復旧、サポートサービス)。2つ目は権限(ID、鍵の使用、メタデータアクセス、ネットワーク、アカウント、組織、リージョンによって呼び出しを制限するポリシー)。3つ目は観測可能性(独立して管理されたアカウントに保持されたログ、クロスリージョン転送の証拠、異常な送信元位置のアラート、関連規制当局が利用できる記録)。4つ目は出口と継続性(データとログを使用可能な形式でエクスポートする能力、プロバイダーアクセスの取り消し、鍵のローテーション、リージョン、プロバイダー、または法的移行メカニズムが利用できなくなった場合のテスト済み復旧取り決めの運用)。
このインシデントはまた、インフラストラクチャの地理が不確かであっても、データ主体の地理が重要であることを示しています。カナダの規制当局、影響を受ける個人、通知慣行、ID 修復の必要性は、キャピタル・ワンが米国に本社を置いているためになくなったわけではありません。多国籍クラウドプログラムは、データセットをエンジニアがそれらを見るアカウントとリージョンだけでなく、それらが表す人々と義務にマッピングする必要があります。
保持はアクセスパスを歴史的なファイルに変えた
キャピタル・ワンは、影響を受けた最大のカテゴリには2005年から2019年初頭までのアプリケーションデータが含まれていると述べました。その期間はリスク分析を変えます。クレジット申請には即時の目的があります。適格性の評価、法律の遵守、詐欺の防止、口座の開設です。時間の経過とともに、一部の情報はサービス、法的保留、規制義務、モデルガバナンス、紛争解決、詐欺分析に必要であり続ける場合があります。しかし、必要性はフィールド、目的、期間によって実証されなければなりません。
保持は、クラウドセキュリティとは別のプライバシースケジュールとして扱われることがよくあります。この侵害は、なぜその分離が人為的であるかを示しています。侵害されたロールによって到達可能なデータの量と経過年数が影響を決定します。完全な削除スケジュールは、攻撃者が現在の記録を読み取るのを止めることはできませんが、1回の資格情報イベントが14年間のアプリケーション履歴を露出させるのを防ぐことができます。同様に、フィールドを機密として分類しても、分類によってストレージポリシー、鍵境界、アクセスロール、または削除ジョブが変更されなければ効果はほとんどありません。
適切な制御は単に「古いデータを削除する」ではありません。それは防御可能なライフサイクルです。収集目的の特定、保持の法的およびビジネス上の根拠の指定、アクティブな運用データと制限されたアーカイブの分離、フィールドの最小化、永続的な識別子のトークン化、削除の強制、文書化された例外の対象となる記録のみの保存、削除されたデータがレプリカ、派生データセット、キャッシュ、スナップショット、開発コピーからも削除されることのテスト。すべての例外には所有者と期限切れレビューが必要です。
データアーキテクチャは集約も減らすべきです。1つの処理ジョブがかつて必要だったという理由だけで、単一のロールが広範な履歴コーパスにアクセスできるべきではありません。目的、感度、時間期間、管轄権によってパーティション分割することで、アクセスポリシーに意味のある強制が可能になります。それらの境界がなければ、最小権限は非常に大きなバケットまたはデータレイクのレベルで動作することを余儀なくされ、「このアプリケーションを実行できる」と「この機関の歴史を読める」の差が危険なほど小さくなります。
クラウド依存には証拠依存が含まれる
キャピタル・ワンはリモートディスクを借りていただけではありません。大規模なクラウド顧客と同様に、プロバイダー定義の ID セマンティクス、メタデータ動作、API ロギング、リージョン構造、ストレージ制御、サービス可用性、ドキュメント、および証拠を保存して説明するプロバイダーの能力に依存していました。これは稼働時間よりも広範な依存関係です。
2019年のインシデントは、キャピタル・ワンのコアバンキングサービスの長期にわたる公開停止を引き起こしませんでした。継続性の問題は機密性と信頼でした。同社は大規模なクラウド環境を調査し、影響を受けた記録を特定し、2か国で人々に通知し、法執行機関および規制当局と協力し、監視を提供し、訴訟を防御し、運用を継続しながら管理を改善する必要がありました。これは、妥協された証拠の下での継続性です。サービスは利用可能なままである可能性がありますが、機関はその記録、ID プロセス、顧客コミュニケーションがまだ信頼できるかどうかを判断しなければなりません。
キャピタル・ワンの2019年フォーム10-Kは、2019年の対応および是正措置費用として7200万ドルの増分費用を報告し、3400万ドルの保険回収で相殺されました。同社は、全インシデント調整項目について以前に発表された1億ドルから1億5000万ドルの範囲の下限になると予想し、一部の費用は2019年以降も続くと述べました。規制介入、訴訟、是正措置費用、風評被害、信頼の喪失について警告しました。これらの数字は、8000万ドルの OCC 罰金と後の1億9000万ドルのクラス和解基金に先行するものであり、保険、タイミング、和解範囲、会計処理が異なるため、軽率に加算されるべきではありません。
証拠依存は、契約上および技術的に計画されるべきです。規制対象の顧客には、適切なフィールドと保持期間を持つログ、プロバイダーイベントの迅速な通知、フォレンジック収集との協力、保存義務、リージョンおよびサブプロセッサ情報、制御レポートへのアクセス、脆弱性コミュニケーション、政府および規制当局のリクエストのためのプロセスが必要です。また、侵害されたワークロードが変更できないセキュリティアカウントに重要なログの独自コピーが必要です。サービスが正常に動作したと述べるプロバイダーダッシュボードは、顧客の ID が適切にスコープされていたことを確立するものではありません。
出口計画は同じパッケージに属します。データと ID ポリシーを1つのプロバイダーに集中させることで標準化と可視性が向上する可能性がありますが、移行を困難にする可能性もあります。出口テストでは、データのインベントリ、アクセスポリシーの再現、キーのエクスポートまたは再暗号化、ログの転送、検知の再構築、場所の制約の満たし、旧プロバイダーでの削除の証明にかかる時間を測定する必要があります。マルチクラウド展開は自動的により安全ではありません。未熟な制御を複製すると、不確実性が倍増する可能性があります。目的は、データと証拠の信頼できる移植性であり、装飾的なプロバイダー数ではありません。
和解が解決したものと未解決のまま残されたもの
消費者和解は重要ですが、その意味は慎重に述べられるべきです。和解は、適格な自己負担損失、失われた時間、ID 防御サービス、復元サービス、通知と管理、裁判所が承認した費用のための1億9000万ドルの基金を創設しました。また、ビジネス慣行に関するコミットメントも含まれていました。最終承認命令は、和解が公正、合理的、適切であると認定し、リリースされた消費者請求を本案とともに却下しました。
和解は、修正された告訴状のすべての申し立てが真実であることを確立したわけではありません。却下申し立ての背景を証拠後の調査結果に変換したわけではありません。AWS のメタデータ設計が指定された割合の損害を引き起こしたことや、キャピタル・ワンの設定が残りを引き起こしたことを判断したわけではありません。トンプソンの刑事責任を消し去ったわけでもなく、OCC の別個の規制調査結果と命令を排除したわけでもありません。
この未解決の配分自体がガバナンスの教訓です。企業は、共有制御を改善する前に、裁判所がきれいなパーセンテージを割り当てるのを待つことはできません。プラットフォームプロバイダーは、裁定された責任がなくても、より安全なプロトコルを追加する可能性があります。顧客は規制当局の調査結果に異議を唱えながらも命令を受け入れ、管理を全面的に見直す可能性があります。取締役会は法的防御を留保しながら、運用上の事実を緊急のものとして扱うことができます。法的姿勢と是正姿勢は矛盾なく異なることがあります。
OCC は後に、2022年8月31日付で2020年の差止命令を終了したと発表しました。終了はその特定の命令の重要な終点です。罰金を取り消したり、歴史的調査結果を書き換えたり、クラウドリスクが静的になったことを証明したりするものではありません。これは、正式な命令が未解決でなくなったことを示しています。成熟した取締役会は、命令の制御インベントリ、テスト、監査、報告の規律を、規制上の監督とともに期限切れにするのではなく、通常のガバナンスに変換する必要があります。
メタデータ、ID、地域性リスクのための証拠パッケージ
キャピタル・ワンの記録は、パブリッククラウドで機密性の高いワークロードを実行する組織のための実用的な証拠パッケージをサポートしています。
公開パスから内部権限へのマッピング。インターネットに到達可能なすべてのプロキシ、ロードバランサー、WAF、API ゲートウェイ、アプリケーションをインベントリします。それぞれについて、出力先、メタデータ到達可能性、アタッチされた ID、許可されたメソッドとヘッダー、その ID を介して到達可能な最大データ権限を示します。意図されたアーキテクチャ図だけでなく、攻撃者の視点からパスをテストします。
メタデータの態勢を測定可能にする。メタデータが必要かどうか、無効にできるかどうか、必要なプロトコルバージョン、ホップ制限、ローカルファイアウォール制限、コンテナへの影響、観察されたレガシーコールを記録します。組織またはアカウントレベルで望ましい状態を強制します。例外は、依存するソフトウェア、リスク所有者、補償制御、削除日を特定する必要があります。
資格情報の爆発半径を計算する。各ランタイムロールについて、到達可能なストレージプレフィックス、データベース、キュー、シークレット、鍵操作、管理アクションを列挙します。1回の資格情報の有効期間内に、どのくらいの機密データがどのネットワークロケーションから読み取られる可能性があるかを見積もります。ID、リソース、鍵、エンドポイント、組織ポリシーの交差を含む効果的な権限をテストします。
ストレージアクセスを復号権限から分離する。暗号化は、アプリケーションパスを通じて公開される同じロールに折り畳まれるべきではありません。永続的な ID フィールドにはトークン化または個別のサービスを使用します。公開に面した ID が鍵操作を呼び出したり、狭い目的の範囲外のデータクラスを読み取ったりした場合にアラートを発します。
目的と管轄権によってデータを制御する。感度、目的、保持期間、影響を受ける人口に従ってデータにタグを付け、パーティション分割します。プライマリストレージ、レプリカ、分析、バックアップ、リカバリの承認されたリージョンを強制します。コンテンツまたはサポートデータを必然的に移動するサービスを記録します。設定された場所だけでなく、クロスリージョンおよびクロスアカウントの拒否をテストします。
監査証跡を所有する。ID、メタデータ、ストレージ、鍵、ネットワーク、データ損失イベントを独立して管理されるロギング環境にルーティングします。ワークロードロールからログを保護します。資格情報の取得、リスト操作、オブジェクト読み取り、復号、出力を相関させます。アラートが生成されるかどうかだけでなく、証拠のある結論にまで調査されているかどうかを測定します。
制御ユニバースを整合させる。経営陣のクラウド制御カタログ、資産インベントリ、設定インベントリ、データカタログ、リスク登録簿、監査ユニバースは共通の識別子を持つべきです。内部監査は、経営陣のリストからサンプリングするだけでなく、完全性をテストする必要があります。一致しない資産と制御は、未知のカバレッジとして報告されるべきです。
反復および期限切れの調査結果をエスカレーションする。修正期限を過ぎた設定ギャップは、それが露出したままにする ID およびデータパスとともに表示されるべきです。取締役会報告書は、責任ある役員、補償制御、検証方法、期限を指名する必要があります。クローズには、リスク条件が変化したという独立した証拠が必要です。
国境を越えた対応を訓練する。侵害訓練では、どの人口と規制当局が関与するか、どの記録が場所とアクセスを示すか、国固有の通知がどのように配信されるか、ID 復元が異なる政府識別子と信用システムでどのように機能するかを特定する必要があります。組織は、影響を受けたデータがどこに保持されていたかを、危機の最中に回答を再構築することなく説明できる必要があります。
プロバイダーの協力と出口権を維持する。契約と運用手順は、タイムリーなログアクセス、フォレンジックサポート、インシデント通知、証拠保存、リージョンコミットメント、サブプロセッサの透明性、削除証明を確保する必要があります。チームは、データ、ポリシー、鍵、監査証拠を使用可能なリカバリ環境に定期的にエクスポートするテストを実施する必要があります。
このパッケージは、リスクが組み合わせ的であるため要求が厳しいものです。WAF はベースラインを満たしている可能性があります。メタデータサービスは文書どおりに動作している可能性があります。ロールにはビジネス上の理由がある可能性があります。バケットはプライベートである可能性があります。オブジェクトは暗号化されている可能性があります。ログは存在する可能性があります。しかし、それらの交差点はそれでも公開リクエストが許可されたエクスポートになることを許す可能性があります。説明責任は交差点にあります。
永続的なテスト
キャピタル・ワンの侵害は、2つの簡単な話に抵抗するため、今でも有用なクラウド説明責任の事例です。最初の話は、パブリッククラウドが侵害を引き起こしたというものです。これは、顧客が制御する設定、権限、データアーキテクチャ、監視、および銀行のクラウドリスクプログラムに関する OCC の直接的な所見を無視しています。2番目の話は、共有責任が問題を完全に顧客に置いたというものです。これは、プロバイダーの図を設計分析の終わりとして扱い、より強力なメタデータサービス防御、より安全なデフォルト、プロバイダーテレメトリ、契約上の証拠の価値を見落としています。
より良い説明は連鎖を追跡します。公開に面した制御が意図しないリクエストを中継できた。そのリクエストがメタデータ信頼境界に到達した。結果として得られた一時的な ID は、保存された情報を一覧表示およびコピーするのに十分な権限を持っていた。暗号化は、許可されたとして受け入れられた資格情報がデータを読み取るのを妨げなかった。内部監視はタイムリーな封じ込めを生み出さなかった。長い保持期間が露出したコーパスを拡大した。同じ事件が米国とカナダのプライバシー制度の下で人々に影響を与えた。監査と取締役会報告は、規制当局によって特定されたより広範なクラウド制御のギャップの解決を強制していなかった。
その後、責任はフォーラムによって分離されました。攻撃者は有罪となりました。銀行規制当局はキャピタル・ワンに同意義務と罰金を課しました。消費者はキャピタル・ワンとアマゾンの両方を追求し、請求は一部存続し、過失の裁判配分なしで和解しました。AWS はより防御的なメタデータプロトコルを導入しました。キャピタル・ワンは是正措置、強化された取締役会の監督を説明し、相当な対応、執行、和解費用を負担しました。
将来の取締役会にとって、決定的な質問は、クラウドプロバイダーが認定されているか、バケットが暗号化されているか、ファイアウォールルールが修正されたかではありません。それは、機関が、不均衡な権限を持つワークロード ID を信頼されていないパスが取得できないこと、その ID の異常な使用が検出され解決されること、到達可能なデータが目的、時間、管轄権によって制限されていること、プロバイダーと顧客の証拠がリスクを管理するのに十分迅速に結合できることを証明できるかどうかです。
その証明が共有責任の実際的な意味です。それがなければ、責任は紙の上で分割されているに過ぎず、リスクは本番環境で接続されたままです。

