概要

  • Capital One は、2019 年 3 月 22 日と 23 日に外部の個人が設定上の脆弱性を悪用したと発表した。刑事および規制上の記録は、より長い制御の連鎖を示している。誤設定されたウェブアプリケーションファイアウォール(WAF)によりコマンドがクラウド環境に到達し、ロールの認証情報が取得され、その認証情報によってストレージオブジェクトの列挙とコピーが可能になり、監視によって不審な活動がタイムリーな封じ込めに至らなかった。
  • 通貨監督庁(OCC)は、この事象を単独の技術的ミスとは位置づけなかった。その同意に基づく認定は、同行の 2015 年のクラウド移行期にまで遡り、効果的でないリスク評価、不十分なネットワークセキュリティとデータ損失防止策、不適切なアラート処理、内部監査のギャップ、経営陣の説明責任を果たさせられなかった取締役会の無力さを特定した。
  • 責任は複数の次元で存在したが、法的に互換性はなかった。連邦陪審は Paige Thompson を犯罪行為で有罪とした。Capital One は、OCC の認定を認めることも否定することもなく、8000 万ドルの罰金を受け入れた。消費者による Capital One と Amazon に対する請求は、一部が訴答段階で生き残り、後に和解したため、民事訴訟では銀行とクラウドプロバイダー間の過失割合を裁判で決定することはなかった。
  • 主権に関する教訓は、国内のクラウドリージョンを選択すればデータ保護が解決するということではない。カナダでは約 600 万人が影響を受け、うち約 100 万人の社会保険番号(SIN)が侵害された。データの所在地、保持、アイデンティティ権限、メタデータアクセス、暗号化権限、ログ記録、規制当局の証拠へのアクセスは、一つのシステムとして統治されなければならない。

狭く捉えられすぎた侵害

よく知られた Capital One 侵害の説明は簡潔だ。ファイアウォールの設定ミスがあり、攻撃者が Amazon Web Services(AWS)のデータに到達し、1 億人以上に関連する情報が盗まれた。この一文の各部分は正しい方向を指している。しかし、説明責任の観点からは、それはあまりにも狭い。それでは、この事象が、他は管理された環境の境界にあるたった一つの悪い設定のように聞こえてしまう。

公式記録は、より構造的なものを示している。Capital One がSEC に提出した 2019 年 7 月 29 日の発表では、同社は 7 月 19 日に、特定の設定脆弱性を悪用した外部の個人が個人情報を取得したと判断したと述べた。実質的な不正アクセスは 3 月 22 日と 23 日に発生し、責任ある開示の報告が 7 月 17 日に届き、同社は設定を修正し、連邦法執行機関と連携したと説明した。また、クラウド運用モデルにより、判明後は問題の診断と修正を迅速に行えたとも述べた。

この最後の点は重要だ。Capital One はクラウド自体を原因として提示しなかった。同社は、関連するインフラストラクチャ要素はクラウドにもオンプレミスにも存在しうると強調した。この立場は技術的に防御可能だ。リバースプロキシやウェブアプリケーションファイアウォールはどちらの環境でも意図しない中継役になり得る。サービス認証情報はどちらでも強力になり過ぎ得る。正規のアイデンティティはどちらでも暗号化データを読み取れる。しかしクラウドは、これらの条件が組み合わさる速度、抽象度、規模を変える。アプリケーション境界を越えたコマンドはインスタンスメタデータサービスに到達し得る。一時的な認証情報は別の場所から API を通じて行使され得る。ストレージロールは 1 台のサーバーのディスクをはるかに超えるデータレイクを列挙できる。クラウド運用を効率的にする自動化が、侵入者にとって権限エラーを効率的にする可能性がある。

Capital One の現在のインシデント情報ページでは、米国で約 1 億人、カナダで約 600 万人が影響を受けたと述べている。最大のデータカテゴリは、2005 年から 2019 年初頭までにクレジットカード商品に申し込んだ消費者や小規模事業者が提供した情報で、氏名、住所、郵便番号、電話番号、メールアドレス、生年月日、自己申告の収入が含まれる。クレジット顧客データの一部には、スコア、利用限度額、残高、支払履歴、連絡先データ、2016 年、2017 年、2018 年にわたる 23 日分の取引データの断片が含まれていた。同社は、侵害されたデータの中に約 14 万件の米国社会保障番号、約 8 万件のリンクされた銀行口座番号、約 100 万件のカナダ社会保険番号が含まれていたと報告した。クレジットカード番号とログイン認証情報は侵害されなかったとしている。

これらの区別は誇張を防ぐが、制御の問題を数値に還元するものではない。アプリケーションデータは、クレジット判断後も長期間にわたってアイデンティティの秘匿性を保持し得る。収入、住所履歴、生年月日、クレジット状態、政府発行の識別子はシステム間で結合され得る。したがって、この事象は単にバケットがプライベートだったかどうかだけではない。なぜアプリケーション向けロールが保存されたデータ集合体にアクセスできたのか、なぜローカルなメタデータ境界にある認証情報経路が外部データ経路になり得たのか、なぜ監視がギャップを塞がなかったのか、そして約 14 年間にわたって収集されたデータが依然として到達可能な集合内に残っていたのか、という点にある。

時系列と変化する説明責任の形態

日付は、組織が合理的に知り、行うことが期待される内容を変える。中核的な時系列は、それぞれの情報源を同じ種類の証拠として扱うことなく、企業の開示、後の起訴と有罪判決、規制当局の命令、裁判記録から描き出せる。

日付出来事と説明責任上の重要性
2015 年頃OCC は後に、Capital One が重要なテクノロジー業務をクラウド環境に移行する前に効果的なリスク評価プロセスを確立せず、適切なクラウドリスク管理を構築しなかったと認定した。
2019 年 3 月 12 日差替起訴状は、この日付頃から Capital One への不正アクセスの一連の行為を起訴した。Capital One は別途、発表した実質的なデータアクセスの日付として 3 月 22 日と 23 日を特定した。
3 月 22 日-23 日Capital One は、外部の個人がこの両日にデータを取得したと述べた。起訴状は、3 月 22 日に Capital One のデータを Thompson が管理するサーバーにコピーしたコマンドを起訴した。
4 月-5 月民事訴訟の訴答段階の説明では、原告らはログに追加の接続または接続試行が示され、公開投稿がその活動を説明していたと主張した。これらは却下申立ての判断のためにのみ真実と見なされた訴状の主張である。
7 月 17 日GitHub のユーザーが、責任ある開示チャネルを通じて、データ窃取の可能性を Capital One に警告した。この外部報告が、最終解決に至る内部警告ではなく、発覚のきっかけとなった。
7 月 19 日Capital One は不正アクセスが発生したと判断し、設定問題を修正し、FBI に連絡した。経営陣はこの問題を取締役会に報告したと、同社の 2020 年委任状説明書に記載されている。
7 月 29 日Capital One が侵害を発表。FBI が Paige Thompson を逮捕し、政府が刑事告訴を行った。
11 月 19 日AWS が Instance Metadata Service Version 2 をリリースし、セッション志向のリクエスト保護と、新方式を必須化するかメタデータアクセスを無効にする顧客コントロールを追加した。
2020 年 4 月 30 日FFIEC は、金融機関が共有責任を理解し、システムがクラウドで稼働しているからといって制御が有効であると想定してはならないと強調するクラウドリスク声明を発表した。
2020 年 8 月 5 日-6 日OCC が 8000 万ドルの民事制裁金と詳細な業務停止命令を発出。連邦準備制度理事会が持株会社に対して協調した命令を発出した。
2020 年 9 月連邦地方裁判所が、Capital One と Amazon による消費者請求の却下申立てを一部認容、一部却下した。この決定は、主張が法的に十分かどうかを審査したものであり、主張が立証されたかどうかではない。
2022 年 6 月連邦陪審が、7 日間の公判を経て、Thompson を電信詐欺、不正アクセス、および保護されたコンピュータの損壊で有罪とした。
2022 年 8 月-9 月OCC は 2020 年の業務停止命令を 8 月 31 日に解除した。連邦裁判所は 9 月 13 日に 1 億 9000 万ドルの消費者クラス和解を最終承認した。
2022 年 10 月Thompson に対し、既に服役した期間と、位置情報・コンピュータ監視を含む 5 年間の保護観察の判決が下された。

3 月 12 日と 3 月 22 日の間の見かけ上の不一致は、一つの日付に無理に合わせる必要のある矛盾ではない。2021 年の差替起訴状は、3 月 12 日頃から始まるより広範な不正コンピュータアクセスの期間を起訴した。Capital One の発表では、インシデントの説明の中心となるデータアクセスに 3 月 22 日と 23 日を用いた。時系列は、起訴された行為と、企業によるデータ持ち出しの説明との間のこの相違を維持すべきである。

同様の厳密さは、影響を受けた人数にも当てはまる。当初の同社発表では、米国で約 1 億人、カナダで 600 万人が影響を受けたとされていた。米国の和解管理者は後に、和解クラスに属する米国消費者を約 9800 万人と説明した。いずれの数字も、正確な普遍的総数に黙って変換されるべきではない。それらは異なる記録に属し、異なる段階のもので、定義も異なる。

メタデータ境界がどのようにして認証情報境界になったか

技術的な連鎖は、しばしば SSRF と略されるサーバーサイドリクエストフォージェリに始まる。SSRF の状態では、外部の呼び出し元が、サーバーサイドコンポーネントに対し、その呼び出し元が選択または影響を与えたリクエストを実行させる。リクエストはサーバーのネットワーク位置から発信されるため、公共インターネットから直接は到達できない宛先に到達する可能性がある。セキュリティ上の問題は、単に URL が受け入れられたことではない。問題は、アプリケーションが外部者の意図をより信頼されたネットワークコンテキストに運ぶ代理人になってしまうことである。

司法省のCapital One 事件ページは、侵入が誤設定されたウェブアプリケーションファイアウォールを通じて行われたと説明している。公判前に提出された差替起訴状は、Thompson がスキャナーを作成・使用し、ウェブアプリケーションファイアウォールの設定によって外部からのコマンドがサーバーに到達し実行されることを許していたクラウド顧客を特定したと主張した。これらのコマンドが顧客アカウントまたはロールのセキュリティ認証情報を取得し、その認証情報が、ロールが権限を持つストレージバケットのリスト表示やオブジェクトのコピーに使用されたと主張した。起訴状では中立的な用語「クラウドコンピューティング企業」が使用されたが、公開民事記録と Capital One 自身の提出書類は、環境を AWS と特定している。

EC2 インスタンスメタデータサービスは、仮想マシン上のソフトウェアが実行時環境を知り、アタッチされたアイデンティティロールに関連付けられた一時的認証情報を取得できるように存在する。これは、永続的なアクセスキーをファイルに保存する代わりの有用な手段である。しかし、この設計は、インスタンスからのアクセスに意味があることを前提としている。ウェブ向けのコンポーネントが任意の内部リクエストを発行させられる場合、「インスタンスにとってローカル」は「認可されたワークロードコード」と等価ではなくなる。

AWS の2019 年の IMDSv2 の説明では、メタデータアドレスをリンクローカルエンドポイントとして特定し、メタデータにはインスタンスにアタッチされたロールの一時的認証情報が含まれ得ると説明している。バージョン 2 では、ソフトウェアがまず HTTP PUT リクエストを実行してセッションを確立し、秘密トークンを受け取り、その後そのトークンを以降のメタデータリクエストで提示する必要がある。AWS は、一般的なオープンウェブアプリケーションファイアウォール、オープンリバースプロキシ、SSRF の脆弱性、特定のレイヤー3 ファイアウォールやネットワークアドレス変換の誤りに対する耐性を付加するようにプロトコルを設計した。顧客はバージョン 2 を強制するか、メタデータアクセスを完全に無効にすることができた。

重要な分析上のポイントは、プロトコルの改訂が欠陥を遡及的に証明するということではないし、顧客の設定がプラットフォーム設計者のあらゆる設計責任を免除するということでもない。それは、ローカルな信頼の前提が複数のレイヤーで強化され得るということである。Capital One は WAF を制約し、メタデータエンドポイントへの出口を制限し、ロールを狭め、到達可能なストレージを制限し、異常な API 使用を検知し、保持データを削減できたはずである。AWS は、透過的プロキシや SSRF 経路を通じてメタデータプロトコルが再利用されにくくすることができたはずである。多層防御は、アプリケーションのエラーが自動的にアイデンティティ認証情報に成熟すべきでなく、アイデンティティ認証情報が自動的に大規模なデータエクスポートに成熟すべきでないことを認識する。

WAF が侵害の全てではなかった

このインシデントをファイアウォールの設定ミスと呼ぶことは、3 つの別個の疑問を隠蔽し得る。第一に、なぜ信頼されていないリクエストが、ファイアウォールまたはその背後にあるコンポーネントを内部宛先に到達させ得たのか?第二に、それが起こった時にどのアイデンティティが露出されたのか?第三に、そのアイデンティティは何ができたのか?

第一の問いは、アプリケーションとネットワーク経路の問題である。WAF は通常、アプリケーションに到達する前に敵対的な入力をフィルタリングする制御として理解されている。このインシデントでは、関連する設定が、WAF を内部リソースへの経路の一部とした。この逆転は、クラウドチームがエッジ制御をテストする方法を変えるべきである。WAF は単に公共境界上のルールセットではなく、実行コンテキスト、外向きの到達可能性、ヘッダー、メソッド、そしてアタッチされたアイデンティティを持つコードである。セキュリティレビューでは、その制御自体が混乱したときに、何に到達でき、何を偽装できるかを問わなければならない。

第二の問いは、メタデータ認証情報に関するものである。一時的な認証情報は、埋め込まれた永続的なキーよりも重要な点で安全である。それらはローテーションされ、有効期限があり、ロールと一元的に関連付けられ得る。しかし、「一時的」とは存続期間を表すものであり、権限ではない。攻撃者が現在の認証情報を繰り返し取得できる場合、あるいは有効期間内に認証情報を使用して大規模なデータセットをコピーできる場合、ローテーションは害を防がない。したがって、認証情報の衛生管理には、認証情報が発行される経路と、それが持つ権限を含めなければならない。

第三の問いは、最小権限である。起訴状は、取得されたアカウントがターゲットのストレージを列挙およびコピーするのに必要な権限を持っていたと主張した。民事裁判所の2020 年 9 月の却下申立て命令には、その手続段階で受け入れられた主張として、おそらく意図よりも広範な権限と相まってアプリケーションレイヤーファイアウォールの誤設定があったという Amazon の説明が記録されている。この命令には、ストレージとデータレイクへのアクセスに関する原告らの主張も記録されている。これらの記述は公判での認定ではない。それでも有用であるのは、裁判所の判断が、刑事上の侵入がセキュリティ上の決定と消費者被害との間の主張された因果連鎖を法的に必ずしも切断するものではないことを示しているからである。

したがって、効果的なレビューは「WAF は修正された」で終わらせることを避ける。それは、完全な特権グラフを再構築するだろう。つまり、公共リクエストからプロキシへ、プロキシからメタデータエンドポイントへ、メタデータエンドポイントからロールセッションへ、ロールからストレージリストへ、ストレージリストからオブジェクト読み取りへ、オブジェクト読み取りから復号経路へ、API コールからネットワーク出口へ、という具合だ。全てのエッジには、所有者、ビジネス上の正当性、予防的制御、テレメトリが必要である。一つの誤ったルールを削除すれば、既知の経路は遮断される。それは、アイデンティティとデータアーキテクチャが比例していたことを立証しない。

暗号化はメディアを保護したが、認可された不正使用を防げなかった

Capital One は、標準的な慣行としてデータを暗号化し、社会保障番号や口座番号などの特定のフィールドをトークン化していたと述べた。また、状況によりアクセスされたデータの復号が可能だったが、トークン化されたデータは異なる方法と鍵を使用していたため保護されたままだったと述べた。これは、「データは暗号化されていた」という一般的な主張が制御の問題を解決するという考えに対する重要な修正である。

保存時の暗号化は、主にストレージメディア、スナップショット、または基盤となるストレージが認可されたサービス経路外でアクセスされた場合にデータを保護するよう設計されている。アプリケーションは依然としてデータを読み取る必要がある。したがって、クラウドストレージと鍵管理システムは、ポリシーを満たすアイデンティティに対して情報を復号する。攻撃者がワークロードと同じ読み取り権限を持つ認証情報を取得した場合、暗号化は設計通りに動作し、認可されたマシンアイデンティティを使用して、認可されていない人間に平文を提供し得る。

これは暗号化に反対する議論ではない。権限を分離するための議論である。公共向け制御にさらされるロールは、広範なデータ読み取りや鍵使用の権限を持つべきではない。機密性の高いフィールドは、一般的なストレージ読み取りアイデンティティが越えられないサービス境界下でトークン化または暗号化されるべきである。鍵ポリシー、データポリシー、ロールポリシーは、一つの認可決定として見直されるべきである。そうでなければ、個々にはもっともらしい 3 つの設定が交差し、いずれの所有者も意図しなかったアクセスを許可し得る。

この事象は、制御報告がカバレッジと結果を区別すべき理由も示している。「全オブジェクトが暗号化されている」というのは真実であり得るが、機密性リスクが高いままである可能性がある。より有用な取締役会向け指標は、各実行時ロールが読み取れる機密オブジェクトの割合、どのアイデンティティが復号を呼び出せるか、公共向けワークロードがそれらの経路に現れるか、ロールが通常のプレフィックス、ボリューム、リージョン、または時間パターン外で読み取りを行う頻度などを示すことだろう。

対応が成功する前に検知が失敗していた

Capital One の責任ある開示プログラムは、外部の人物がそれを利用すると機能した。同社は 7 月 17 日に報告を受け、7 月 19 日に侵害を確認し、問題を修正し、FBI に連絡し、7 月 29 日にインシデントを発表し、迅速な逮捕を支援した。これらは意味のある対応事実である。しかし、なぜ内部統制システムが 3 月の活動を解決に導かなかったのかという問いには答えていない。

OCC の認定はこのギャップをより高いレベルで扱っている。民事制裁金同意命令において、OCC 長官は、Capital One が適切なデータ損失防止策と効果的なアラート処理を含む、適切なクラウドリスク管理を確立していなかったと認定した。Capital One はこれらの認定を認めも否定もしなかった。「処理」とは、単にアラートを生成する以上のものである。それは、イベントが無害か、エスカレーションされるべきか、封じ込められるべきか、あるいは証拠をもってクローズされるべきかを決定するプロセスである。

クラウド環境は膨大なテレメトリを生成する。ロールの引き受け、メタデータの使用、ストレージリスト、オブジェクト読み取り、API ソースアドレス、出口ボリューム、拒否された呼び出し、ポリシー変更、データ分類イベントなどである。シグナルが増えても自動的に検知が生まれるわけではない。プログラムはすべての関連イベントを収集できても、ルールがシーケンスを相関付けない場合、しきい値がロールの通常動作に鈍感な場合、アラートに責任ある所有者がいない場合、あるいはクローズ理由が独立にレビューされない場合には、失敗し得る。

外部報告が発覚につながったという事実は、対応の成功であると同時に保証の失敗として記録されるべきである。成功は、そのチャネルが存在し、監視され、行動を可能にしたことである。失敗は、4 ヶ月前のアクセス経路が、銀行自身の制御が最終的な封じ込めを実現する前に、公開活動を通じて発見可能だったことである。責任ある開示は貴重な外部センサーである。それは、認証情報の取得、異常なバケット列挙、大規模なオブジェクトコピーの内部検知の代替として数えられるべきではない。

OCC は侵害を移行ガバナンスの失敗と扱った

最も強力な公開説明責任記録は技術的な事後分析ではない。それは OCC の 2020 年の執行パッケージである。当局の制裁金発表によれば、銀行は重要なテクノロジー業務をパブリッククラウドに移行する前に効果的なリスク評価プロセスを確立せず、欠陥を適時に修正しなかったとしている。当局は 8000 万ドルの制裁金を課し、銀行の通知と改善措置を評価し、責任あるイノベーションには依然として健全なリスク管理と内部統制が必要であると述べた。

同意に基づく認定は異例なほど具体的である。OCC は、2015 年頃、銀行が移行前に効果的なリスク評価を確立していなかったと認定した。ネットワークセキュリティ管理の設計と実装、データ損失防止、アラート処理の欠陥を認定した。内部監査が多数の管理上の弱点とギャップを特定せず、特定された弱点を監査委員会に効果的に報告せず、取締役会が監査によって提起された特定の懸念について経営陣の責任を問う効果的な行動を取らなかったと認定した。Capital One は、手続きのコストを避けるために命令に同意し、認定を明示的に認めも否定もしなかった。

この枠組みは説明責任の単位を変える。もしもこの事象が 2019 年に作成された一つの悪い WAF ルールであるなら、是正措置はそのエンジニア、変更レビュー、そして直接の制御に集中できた。もし関連する失敗が 2015 年の不十分に評価された運用モデルから始まったのなら、責任あるシステムには、移行ガバナンス、クラウド管理設計、第二線によるチャレンジ、内部監査、委員会報告、経営陣による是正、取締役会へのエスカレーションが含まれる。

付随するOCC の業務停止命令は、そのより広範な境界を運用に移した。少なくとも 3 名の取締役からなるコンプライアンス委員会、書面による是正措置計画、テクノロジーリスク評価の改善、クラウド運用リスク管理、独立したリスク管理、管理テスト、内部監査を要求した。クラウド計画では、境界セキュリティ、機密情報の特定と保護、不正開示の防止と検知、コンテナ化されたオブジェクトの構成管理に取り組む必要があった。独立したリスク管理では、包括的なリスクと管理のユニバース(対象範囲)を定義し、固有および残留サイバーリスクの第一線評価にチャレンジする必要があった。

命令の管理テスト要件は特に重要である。Capital One は、関連するクラウド管理のインベントリを作成し、リスクベースのテスト計画をそのインベントリに照合し、ギャップを追跡し、それらを是正するか、正式にリスクを受け入れる必要があった。内部監査は、経営陣によるテクノロジー資産、設定可能なデバイス、ソフトウェアのインベントリの完全性と正確性を検証し、監査ユニバースを検査の懸念と照合し、侵害の根本原因分析からの教訓を組み込み、監査範囲を改訂し、スタッフの専門知識を評価し、監査委員会への報告を改善する必要があった。

これらの義務は、繰り返されるクラウドガバナンスの誤りに対応するものである。企業は管理カタログと監査計画を持っていても、両者の間に信頼できる関係を欠いている場合がある。管理カタログには、経営陣が存在すると信じているものが含まれる。資産インベントリには、チームが運用していると信じているものが含まれる。監査ユニバースには、監査がレビューすることを期待しているものが含まれる。これらの集合が調整されていない場合、公共向けロール、メタデータ経路、ストレージバケット、または設定エンジンが、所有モデルの間に存在し得る。OCC 命令は、これらの集合が整合していることの証拠を要求した。

取締役会の説明責任は会議の頻度ではなく証拠である

Capital One の2020 年委任状説明書によると、経営陣は 7 月 19 日の発覚後、速やかにインシデントを取締役会に報告した。複数の委員会の独立メンバーと取締役会全体は、インシデントと対応に関して 20 回以上会合した。取締役会は外部専門家を関与させ、根本原因と是正措置に関する報告を受け、監視を強化し、リスク委員会に強化されたサイバーガバナンスのレビューにおける主導的役割を割り当てた。経営陣は、企業全体のサイバー問題とエスカレーションのための上級委員会を設置した。

これらは正当なガバナンス対応だが、会議の回数は管理が機能していることを証明できない。OCC の認定は、侵害前の期間に焦点を当てており、監査上の弱点が効果的に表面化されず、経営陣がいくつかの未解決のギャップについて責任を問われなかったとされている。したがって、有用な比較は「以前は少数の会議、後には多数の会議」ではない。それは、取締役に届く情報が活動報告から管理の証拠へと変化したかどうかである。

OCC 命令は、その証拠が何を裏付けるべきかを定義した。取締役は、適時の是正措置を確実にし、措置が効果的であることを検証し、十分な人員とシステムを確保し、経営陣の説明責任を果たさせ、適切かつ適時の報告を要求し、不遵守に対処することを求められた。取締役会は経営陣、委員会、第三者に依拠することができたが、依拠することは是正措置を確実にする義務を取り除くものではなかった。

クラウドのメタデータとストレージのリスクについて、取締役会レベルの資料は具体的な質問に答えるべきである。インターネット到達可能なワークロードのうち、いくつがインスタンスメタデータにアクセスできるか?いくつがより強力なセッションプロトコルを必要とするか?どれがメタデータを完全に無効にできるか?公共向けロールのうち、いくつが機密性の高いオブジェクトストアをリスト表示または読み取りできるか?各ロールが 1 つの認証情報の有効期間内に取得できる最大データ量は?どの管理がデータが承認されたネットワークやリージョンを離れることを防いでいるか?裏付け証拠なしにクローズされたアラートはいくつか?クラウド監査のどの問題が目標日を過ぎているか、またどの役員が残留リスクを受け入れたか?

これらの質問のいずれも、取締役にファイアウォールの設定を求めていない。それらは、経営陣が自ら主張する運用境界を実証できるかどうかを問うている。それが管理と監督の違いである。取締役はすべての API パラメータを知る必要はないが、外部の研究者が行う前に危険な組み合わせを可視化する報告システムを必要とする。

共有責任は管理マップであり、責任放棄ではない

AWS は、クラウドセキュリティはプロバイダーと顧客の間で共有されると説明している。AWS 共有責任モデルの下では、AWS はクラウドサービスを実行するインフラストラクチャを保護し、一方で顧客の責任はサービスの選択によって異なり、一般には顧客データ、アイデンティティとアクセス、アプリケーションソフトウェア、オペレーティングシステムの設定、ファイアウォール設定、暗号化の選択、トラフィック保護などが含まれる。EC2 のようなインフラストラクチャサービスでは、完全マネージドサービスよりも顧客が運用スタックのはるかに多くを制御する。

このモデルは、カテゴリエラーを防ぐので有用である。つまり、コンピュートを借りることが、プロバイダーを顧客のアプリケーション権限の運用者にするわけではない。しかし、図はガバナンスの始まりにすぎない。多くの重要な管理は境界をまたぐ。プロバイダーはメタデータサービスを設計し、顧客はそれを使用するかどうか、どのように使用するかを決定する。プロバイダーはアイデンティティポリシーの仕組みを提供し、顧客はロールと権限を定義する。プロバイダーはログを生成し、顧客はそれらを有効化し、保持し、ルーティングし、調査する。プロバイダーはリージョンの選択肢を提供し、顧客は法的義務を満たすリージョンとアーキテクチャを選択する。プロバイダーはより安全なデフォルトを可能にし、顧客は既存のワークロードを移行し、それらを強制しなければならない。

FFIEC のクラウドコンピューティング声明は、金融セクターへの影響を明確にしている。経営陣は、システムがクラウド環境で稼働しているという理由だけでセキュリティと回復力の管理が存在すると想定すべきではない。声明は、契約で当事者の責任を特定すべきだが、金融機関は安全かつ健全な運営とコンプライアンスに責任を負い続けると述べている。ガバナンス、クラウドアーキテクチャ、アイデンティティ、データ管理、脆弱性管理、監視、インシデント対応、事業継続、監査を連携した実践として強調している。

したがって、共有責任はテスト可能なほど精密な管理マトリックスに翻訳されなければならない。すべての管理について、マトリックスは誰がそれを設計するか、誰が設定するか、誰が運用するか、誰がアラートを受けるか、誰が有効性を検証するか、どの証拠が保持されるか、そして証拠が欠けている場合に誰が行動するかを特定すべきである。「顧客の責任」といったラベルは管理の所有者ではない。大銀行では、「顧客」はプラットフォームエンジニアリング、アプリケーションチーム、クラウドセキュリティ、データガバナンス、アイデンティティエンジニアリング、エンタープライズリスク、内部監査、法務、またはサプライヤーを意味し得る。顧客組織内部の曖昧さは、顧客とプロバイダー間の曖昧さよりも危険であり得る。

また、共有責任の図が民事責任を決定するわけでもない。契約条件、表明、技術設計、通知義務、因果関係、州法、立証された事実がすべて重要である。モデルは期待される運用を導くことはできるが、それは過失の裁判上の配分ではなく、あたかも免責であるかのように取締役会に提示されるべきではない。

刑事責任、規制上の責任、および民事上のリスク

公開記録は、それぞれ異なる法的地位を持つ複数の形態の説明責任を裏付けている。

刑事責任が最も明確である。司法省の判決発表によると、連邦陪審は Thompson を電信詐欺、保護されたコンピュータへの不正アクセス 5 件、および保護されたコンピュータの損壊で有罪とした。検察は、彼女がクラウドアカウントの設定ミスをスキャンし、それらを利用してデータと計算能力を取得し、30 以上のエンティティにアクセスしたことを示した。彼女は既に服役した期間と 5 年間の保護観察を言い渡された。この確定された犯罪行為は、偶発的な発見へと和らげられるべきではない。

規制上の説明責任は銀行に集中した。OCC の制裁金命令は最終的な同意命令だが、Capital One は長官の認定を認めも否定もしなかった。連邦準備制度理事会の協調執行発表は、持株会社がリスク管理、ガバナンス、サイバーセキュリティ、情報セキュリティ管理を強化する必要があると述べた。添付の連邦準備制度理事会同意命令は、親会社の取締役会に対し、その資源を用いて銀行が OCC 命令に確実に従うようにし、取締役会による監督のための書面計画を提出するよう求めた。

民事上のリスクはより広範だったが、最終的な過失についてはより不確かである。消費者は、過失、契約、不当利得、通知、消費者保護の理論に基づき、Capital One と Amazon を提訴した。2020 年 9 月、連邦地裁は被告らの却下申立ての一部を認め、一部を却下した。大半の過失請求は生き残ったが、ワシントン州の過失請求といくつかの過失それ自体の理論は却下された。裁判所はその段階で、Thompson の犯罪行為が被告らの主張された過失を必ずしも遮断するものではないと結論付けた。却下申立ては適切に主張された事実を真実として受け入れるため、この判断は請求が進行し得ることを確立したが、Capital One や Amazon が主張された行為を行ったことを立証したわけではない。

事件は本案審理ではなく和解で終結した。最終承認命令は、1 億 9000 万ドルの非返還基金、アイデンティティ防御および復旧サービス、および業務慣行に関する約束を承認した。和解は Capital One と Amazon に対する請求を解決した。承認は、裁判所が交渉による解決をクラスアクション規則の下で公正、合理的かつ適切と認めたことを意味する。それは、銀行、AWS、および攻撃者の間で侵害の責任割合を配分するものではなかった。

「誰に責任があったのか?」という問いが一つの誤った答えを招きかねないため、この区別は重要である。Thompson は犯罪行為で有罪判決を受けた。Capital One は同意に基づく認定により規制制裁を受け、是正義務を受け入れた。Capital One と Amazon は民事請求に直面し、それが一部生き残り、和解した。プロバイダーのその後の設計変更は予防に関連するが、法的過失の自認ではない。各記述には出典と手続上の立場がある。それらを一つの一般化された評決にまとめることは不正確であろう。

IMDSv2 とより安全なデフォルトのガバナンス

AWS は Capital One が侵害を開示してから 4 ヶ月足らずの 2019 年 11 月に IMDSv2 を導入した。AWS のリリース通知では、不正なメタデータアクセスに対する多層防御と説明された。顧客は新規または実行中のインスタンスで強化されたリクエスト方式を必須化するか、メタデータアクセスをオフにできた。互換性のためバージョン 1 は引き続き利用可能だった。

IMDSv2 のセッショントークンは、いくつかの混乱した代理人経路に対して摩擦を生み出す。単純な GET リクエストを転送するプロキシは、最初の PUT を許可しない可能性がある。転送ヘッダーを挿入するリバースプロキシは、トークン作成のために拒否される可能性がある。トークンはインスタンスに結び付けられており、任意のマシンから単純に再生することはできない。ホップ制限は、メタデータレスポンスがネットワークレイヤーをどこまで移動できるかを制限できる。これらは、アプリケーションやプロキシのミスの結果を減らすため、価値あるプロトコル制御である。

それらは最小権限の必要性を取り除くものではない。もし悪意のあるコードが実際にインスタンス上で実行されれば、正規のコードと同様にトークン交換を実行できる可能性がある。もし脆弱な SSRF が任意のメソッドとヘッダーを許可するなら、保護は不完全かもしれない。もしアタッチされたロールが不必要なデータレイクを読み取れるなら、残存する結果は依然として大きい。したがって、メタデータの強化は一連の層の中の一つであり、ロール設計、出口制御、データセグメンテーション、監視の代替ではない。

デフォルトには時間の次元もある。2019 年には、顧客はより強力な方式が利用可能になった後にそれを選択し、強制しなければならなかった。AWS は後にIMDSv2 デフォルト化のロードマップを発表し、コンソールのクイックスタートや新しくリリースされたインスタンスタイプをバージョン 2 に移行しつつ、互換性オプションを維持した。この進行はプラットフォームガバナンスのジレンマを示している。即時の強制変更は既存のソフトウェアを壊す可能性があり、長期にわたるオプションは古い前提をそのまま残す。プロバイダーは移行を測定可能にし、アカウントレベルの強制を提供し、残存するバージョン 1 の使用を露出し、明確な方向性を定めるべきである。顧客はオプションのセキュリティアップグレードを、機能のバックログとしてではなく、所有者と期限を持つリスク決定として扱うべきである。

取締役会にとっての教訓は、デフォルトの負債について問うことである。いくつのワークロードが依然としてレガシーメタデータモードに依存しているか?なぜか?それを無効にしたら何が壊れるか?どのアプリケーションがより低いホップ制限に耐えられないか?どの組織ポリシーが新たな例外を妨げているか?取得したアカウントや開発環境が逸脱していないことを企業はどのように確かめているか?利用可能だが測定されていない安全な機能は、インベントリと強制に結びついた移行プログラムよりも少ない保証しか生み出さない。

データ所在地は論理アクセスを封じ込めなかった

侵害は米加国境の両側の人々に影響を与えた。カナダプライバシーコミッショナー事務局は、Capital One が、社会保険番号にアクセスされた者を含む 600 万人のカナダ人が影響を受けたと報告した後、調査を開始した。Capital One のカナダ向けインシデントページは、国別の通知とサポートを提供した。国境を越えた影響は、所在地を抽象的なクラウド調達の問題から説明責任の問題へと変える。

本稿でレビューした情報源は、影響を受けた全オブジェクトの正確な AWS リージョンを確定しておらず、カナダの記録が別のカナダリージョンに保持されていたことも示していない。その不在は維持されるべきである。データ主体の国籍やグローバルなクラウドブランドからストレージの場所を推測することは無責任であろう。記録が確立しているのは、一つのインシデントが異なる法規制システムの下にある大規模な人々に影響を与えたということである。

AWS はデータプライバシー資料の中で、顧客が顧客コンテンツを管理し、プロバイダーと顧客の義務は共有責任モデルに従うと述べている。現在のデジタル主権フレームワークは、ワークロードの実行場所、データアクセス、回復力、管理に関する顧客の選択を強調している。これらの能力は関連性があるが、リージョンの選択は完全な主権の結果ではない。

所在地は、通常の運用下でサービスがデータを保存または処理するように設定されている場所に答える。セキュリティは、誰がサービスにそれを開示させることができるか、認証情報がどこで行使され得るか、ログとバックアップがどこに行くか、サポートアクセスがどのように制御されるか、エクスポートされたデータが選択された境界を越えることができるかにも答えなければならない。Capital One の連鎖においては、API 認証情報がディスクへの物理的近接よりも大きな結果をもたらした。一度ロールが認可されたと受け入れられると、ストレージはサービスインターフェイスを通じてオブジェクトを提供できた。国内リージョンだけでは、その論理経路を防げなかったであろう。

したがって、主権管理には少なくとも 4 つの層が必要である。第 1 は配置であり、承認されたリージョン、レプリケーション設定、バックアップ、分析、災害復旧、サポートサービスが含まれる。第 2 は権限であり、アイデンティティ、鍵の使用、メタデータアクセス、ネットワーク、アカウント、組織、リージョンによる呼び出しを制限するポリシーが含まれる。第 3 は可観測性であり、独立して管理されたアカウントに保持されたログ、クロスリージョン転送の証拠、異常なソースロケーションに対するアラート、関連規制当局が利用可能な記録が含まれる。第 4 は退出と継続性であり、データとログを使用可能な形式でエクスポートし、プロバイダーアクセスを無効にし、鍵をローテーションし、リージョン、プロバイダー、または法的転送メカニズムが利用できなくなった場合にテスト済みの復旧手配を運用する能力である。

このインシデントは、インフラストラクチャの地理が不確かな場合でも、データ主体の地理が重要になり得ることも示している。カナダの規制当局、影響を受けた個人、通知慣行、アイデンティティ修復の必要性は、Capital One が米国に本社を置いているからといって消滅しなかった。多国籍のクラウドプログラムは、データセットを、エンジニアがそれを見るアカウントやリージョンだけでなく、それらが代表する人々や義務に対応付けるべきである。

保持がアクセス経路を履歴ファイルに変えた

Capital One は、最大の影響を受けたカテゴリには 2005 年から 2019 年初頭までのアプリケーションデータが含まれていたと述べた。その期間はリスク分析を変える。クレジット申請には、適格性の評価、法令遵守、不正防止、口座開設という即時の目的がある。時間が経つにつれて、サービシング、法的保留、規制義務、モデルガバナンス、紛争解決、または不正分析のために一部の情報が必要であり続ける場合がある。しかし、必要性はフィールド、目的、期間によって示されなければならない。

保持はしばしば、クラウドセキュリティとは別のプライバシースケジュールとして扱われる。侵害は、その分離が人工的である理由を示している。侵害されたロールが到達可能なデータの量と古さが影響を決定する。完璧な削除スケジュールは攻撃者が現在の記録を読むのを止められないが、1 回の認証情報イベントが 14 年分の申請履歴を露出するのを防ぐことはできる。同様に、フィールドを機密として分類しても、その分類によってストレージポリシー、鍵境界、アクセスロール、または削除ジョブが変わらなければほとんど効果がない。

適切な管理は単に「古いデータを削除する」ではない。それは、防御可能なライフサイクルである。すなわち、収集目的を特定し、保持の法的およびビジネス上の根拠を明示し、アクティブな運用データを制限されたアーカイブから分離し、フィールドを最小化し、永続的な識別子をトークン化し、削除を強制し、文書化された例外の対象となる記録のみを保存し、削除されたデータがレプリカ、派生データセット、キャッシュ、スナップショット、開発コピーにも残っていないかテストすることである。すべての例外には所有者と期限付きのレビューが必要である。

データアーキテクチャはまた、集約を減らすべきである。単一のロールが、かつてある処理ジョブがそれを必要としたというだけの理由で、広範な履歴コーパスにアクセスできるようにすべきではない。目的、機密性、期間、管轄区域によるパーティショニングは、アクセスポリシーに意味のある執行対象を与える。そうした境界がなければ、最小権限は非常に大きなバケットやデータレイクのレベルで運用せざるを得ず、「このアプリケーションを実行できる」と「この機関の歴史を読める」の差が危険なほど小さくなる。

クラウド依存には証拠依存が含まれる

Capital One は単にリモートディスクを借りていたわけではない。他の大規模クラウド顧客と同様に、プロバイダーが定義するアイデンティティのセマンティクス、メタデータの挙動、API ログ、リージョン構成、ストレージ管理、サービス可用性、ドキュメンテーション、そしてプロバイダーが証拠を保存し説明する能力に依存していた。これはアップタイムよりも広範な依存である。

2019 年のインシデントは、Capital One のコアバンキングサービスの長期にわたる公共停止を引き起こさなかった。継続性の問題は機密性と信頼だった。同社は、大規模なクラウド環境を調査し、影響を受けた記録を特定し、2 カ国の人々に通知し、法執行機関や規制当局と協力し、監視を提供し、訴訟を防御し、運用を継続しながら管理を是正しなければならなかった。これは侵害された証拠下での継続性である。すなわち、機関が自らの記録、アイデンティティプロセス、顧客コミュニケーションが依然として信頼できるかどうかを判断しなければならない間も、サービスは利用可能であり続ける可能性がある。

Capital One の2019 年フォーム 10-Kは、2019 年の対応および是正費用として 7200 万ドルを計上し、3400 万ドルの保険回収により相殺されたと報告した。同社は、インシデント調整項目の総額は以前発表した 1 億ドルから 1 億 5000 万ドルの範囲の下限になると予想し、一部のコストは 2019 年以降に及ぶとした。規制介入、訴訟、是正コスト、風評被害、信頼喪失について警告した。これらの数字は、OCC による 8000 万ドルの制裁金と、その後の 1 億 9000 万ドルのクラス和解基金より前のものであり、保険、時期、和解の範囲、会計処理が異なるため、単純に合算すべきではない。

証拠依存は、契約上および技術的に計画されるべきである。規制対象の顧客は、適切なフィールドと保持期間を持つログ、プロバイダーイベントの迅速な通知、フォレンジック収集への協力、保存義務、リージョンおよびサブプロセッサ情報、管理報告へのアクセス、脆弱性コミュニケーション、政府および規制当局の要求への対応プロセスを必要とする。また、侵害されたワークロードが変更できないセキュリティアカウントに重要なログの独自コピーを保持する必要もある。サービスが正常に動作したと示すプロバイダーのダッシュボードは、顧客のアイデンティティが適切にスコープされていたことを立証しない。

退出計画も同じパッケージに含まれる。データとアイデンティティポリシーを一つのプロバイダーに集中させることは、標準化と可視性を改善できるが、移行を困難にもし得る。退出テストでは、データのインベントリ作成、アクセスポリシーの再現、鍵のエクスポートまたは再暗号化、ログの転送、検知の再構築、所在地制約の充足、旧プロバイダーでの削除の証明にかかる時間を測定すべきである。マルチクラウド展開が自動的に安全になるわけではない。未熟な管理を複製すれば不確実性が倍増し得る。目的は、装飾的なプロバイダー数ではなく、データと証拠の信頼できる移植性である。

和解が解決したこと、そして未解決のままにしたこと

消費者和解は相当な規模だが、その意味は注意深く述べられるべきである。和解は、適格な自己負担損失、逸失時間、アイデンティティ防御サービス、復旧サービス、通知と管理、裁判所が承認した費用のための 1 億 9000 万ドルの基金を創設した。また、業務慣行に関する約束も含まれた。最終承認命令は、和解を公正、合理的かつ適切と認め、解放された消費者請求を棄却(再訴禁止の棄却)した。

和解は、修正訴状のすべての主張が真実であると立証したわけではない。それは、却下申立ての背景を証拠調べ後の認定に変換しなかった。AWS のメタデータ設計が特定の割合の損害を引き起こしたとも、Capital One の設定が残りを引き起こしたとも決定しなかった。それは Thompson の刑事責任を消し去らず、OCC の別個の規制上の認定と命令を置き換えもしなかった。

この未解決の配分は、それ自体がガバナンスの教訓である。企業は、裁判所がきれいな割合を割り当てるのを待ってから共有管理を改善することはできない。プラットフォームプロバイダーは、法的責任を問われなくとも、より安全なプロトコルを追加することができる。顧客は、規制当局の認定に異議を唱えつつも、命令を受け入れ、管理を全面的に見直すことができる。取締役会は、法的防御を留保しつつ、運用上の事実を緊急のものとして扱うことができる。法的姿勢と修復姿勢は矛盾なく異なり得る。

OCC は後に、2022 年 8 月 31 日付で2020 年の業務停止命令を解除したと発表した。解除は当該命令にとって重要な終点である。それは制裁金を取り消さず、過去の認定を書き換えず、クラウドリスクが静的になったことを証明しない。それは正式な命令がもはや未解決ではないことを示す。成熟した取締役会は、命令が要求した管理インベントリ、テスト、監査、報告の規律を、規制監督とともに失効させるのではなく、通常のガバナンスに転換すべきである。

メタデータ、アイデンティティ、所在地リスクのための証拠パッケージ

Capital One の記録は、パブリッククラウドで機密性の高いワークロードを実行する組織にとって実践的な証拠パッケージを支援する。

公共経路から内部権限へのマッピング。インターネット到達可能なすべてのプロキシ、ロードバランサー、WAF、API ゲートウェイ、アプリケーションをインベントリする。それぞれについて、外向きの宛先、メタデータ到達可能性、アタッチされたアイデンティティ、許可されたメソッドとヘッダー、そのアイデンティティを通じて到達可能な最大データ権限を示す。意図されたアーキテクチャ図に対してだけでなく、攻撃者の視点から経路をテストする。

メタデータの姿勢を測定可能にする。メタデータが必要か、無効化できるか、どのプロトコルバージョンが要求されるか、ホップリミット、ローカルファイアウォール制限、コンテナへの影響、観測されたレガシー呼び出しを記録する。推奨される状態を組織またはアカウントレベルで強制する。例外は、依存するソフトウェア、リスク所有者、補償的管理、削除日を特定すべきである。

認証情報の影響範囲を計算する。各実行時ロールについて、到達可能なストレージプレフィックス、データベース、キュー、シークレット、鍵操作、管理アクションを列挙する。1 つの認証情報の有効期間内に、どのネットワークロケーションから、どれだけの機密データが読み取られ得るかを推定する。アイデンティティ、リソース、鍵、エンドポイント、組織のポリシーの交差を含め、実効権限をテストする。

ストレージアクセスを復号権限から分離する。暗号化は、アプリケーション経路を通じて露出されるのと同じロールに崩れ落ちるべきではない。永続的なアイデンティティフィールドにはトークン化または別個のサービスを使用する。公共向けアイデンティティが鍵操作を呼び出したり、狭義の目的外のデータクラスを読み取ったりした場合にアラートを発する。

目的と管轄区域に応じてデータを管理する。機密性、目的、保持期間、影響を受ける集団に応じてデータにタグ付けし、パーティションする。プライマリストレージ、レプリカ、分析、バックアップ、リカバリについて承認されたリージョンを強制する。必然的にコンテンツやサポートデータを移動させるサービスを記録する。設定された場所だけでなく、クロスリージョンおよびクロスアカウントの拒否をテストする。

監査証跡を自ら保有する。アイデンティティ、メタデータ、ストレージ、鍵、ネットワーク、データ損失のイベントを、独立して管理されたログ環境にルーティングする。ワークロードロールからログを保護する。認証情報の取得、リスト操作、オブジェクト読み取り、復号、出口を相関付ける。アラートが生成されたかどうかだけでなく、証拠に基づく結論まで調査されているかを測定する。

管理ユニバースを調整する。経営陣のクラウド管理カタログ、資産インベントリ、構成インベントリ、データカタログ、リスク登録簿、監査ユニバースは共通の識別子を持つべきである。内部監査は、経営陣のリストからのみサンプリングするのではなく、完全性をテストすべきである。一致しない資産と管理は、未知のカバレッジとして報告されるべきである。

繰り返し発生する、期限を過ぎた指摘事項をエスカレーションする。是正期限を逃した設定ギャップは、それが露出されたままにしているアイデンティティおよびデータ経路の横に表示されるべきである。取締役会報告書は、責任を負う役員、補償的管理、検証方法、期限を明記すべきである。クローズには、リスク状態が変化したことの独立した証拠が必要とされるべきである。

国境を越えた対応を訓練する。侵害訓練では、どの集団と規制当局が関係するか、どの記録が場所とアクセスを示すか、国別の通知がどのように配信されるか、異なる政府識別子やクレジットシステムに対してアイデンティティ復旧がどのように機能するかを特定すべきである。組織は、危機の最中に回答を再構築することなく、影響を受けたデータがどこに保持されていたかを説明できるべきである。

プロバイダーの協力と退出権を確保する。契約および運用手順は、適時のログアクセス、フォレンジックサポート、インシデント通知、証拠保存、リージョンコミットメント、サブプロセッサの透明性、削除証明を確保すべきである。チームは、使用可能な復旧環境へのデータ、ポリシー、鍵、監査証拠のエクスポートを定期的にテストすべきである。

このパッケージが厳しいのは、リスクが組み合わせであるからだ。WAF はベースラインを満たすかもしれない。メタデータサービスは文書通りに動作するかもしれない。ロールにはビジネス上の理由があるかもしれない。バケットはプライベートかもしれない。オブジェクトは暗号化されているかもしれない。ログは存在するかもしれない。しかし、その交差点は依然として、パブリックリクエストが認可されたエクスポートになることを許し得る。説明責任は交差点に属する。

永続する試金石

Capital One の侵害は、二つの安易な説明に抵抗するため、今なお有用なクラウド説明責任の事例である。一つ目の説明は「パブリッククラウドが侵害を引き起こした」というものだ。それは、顧客が管理する設定、権限、データアーキテクチャ、監視、そして OCC による銀行のクラウドリスクプログラムに関する直接的な認定を無視している。二つ目の説明は「共有責任が問題を完全に顧客に帰した」というものだ。それは、プロバイダーの図を設計分析の終着点として扱い、より強力なメタデータサービス防御、より安全なデフォルト、プロバイダーのテレメトリ、契約上の証拠の価値を見落としている。

より良い説明は連鎖をたどる。公共向け制御が意図しないリクエストを中継できた。リクエストはメタデータの信頼境界に達した。結果として得られた一時的アイデンティティは、保存された情報を列挙しコピーするのに十分な権限を持っていた。暗号化は、認可されたものとして受け入れられた認証情報がデータを読み取るのを妨げなかった。内部監視は時宜を得た封じ込めをもたらさなかった。長い保持期間が露出するデータ集合を拡大した。同じ事象が米国とカナダのプライバシー制度の下にある人々に及んだ。監査および取締役会報告は、規制当局が特定したより広範なクラウド管理ギャップの解決を強制していなかった。

その後、責任はフォーラムごとに分離された。攻撃者は有罪判決を受けた。銀行規制当局は同意に基づく義務と制裁金を Capital One に課した。消費者は Capital One と Amazon の両方を追及し、請求は一部生き残り、過失割合の公判を経ずに和解した。AWS はより防御的なメタデータプロトコルを導入した。Capital One は是正措置、取締役会による監督強化を説明し、多大な対応、執行、和解費用を負担した。

将来の取締役会にとって決定的な問いは、クラウドプロバイダーが認定を受けているか、バケットが暗号化されているか、ファイアウォールルールが修正されたかではない。それは、その機関が、不釣り合いな権限を持つワークロードアイデンティティを信頼できない経路が取得できないこと、そのアイデンティティの異常な使用が検知され解決されること、到達可能なデータが目的、期間、管轄区域によって制限されていること、そしてプロバイダーと顧客の証拠がリスクを統治するのに十分な速さで結合できることを証明できるかどうかである。

その証明こそが共有責任の実践的な意味である。それがなければ、責任は机上で分割されるだけで、リスクは本番環境で連結されたままである。