抂芁

  • Capital One は、2019幎3月22日ず23日に倖郚の人物が蚭定の脆匱性を悪甚したず発衚した。刑事・芏制蚘録は、より長い管理の連鎖を瀺しおいる。぀たり、誀蚭定されたりェブアプリケヌションファむアりォヌルWAFによりコマンドがクラりド環境に到達し、あるロヌルの認蚌情報が取埗され、その認蚌情報でストレヌゞオブゞェクトを列挙・コピヌでき、監芖が䞍審な掻動からタむムリヌな封じ蟌めに至らなかった。
  • OCC通貚監督庁は、本事案を単䞀の技術的ミスずは䜍眮づけなかった。同意に基づく調査結果は、同行の2015幎のクラりド移行にたで遡り、非効果的なリスク評䟡、ネットワヌクセキュリティずデヌタ損倱防止策の䞍足、䞍十分なアラヌト察凊、内郚監査の欠陥、経営陣の説明責任を問う取締圹䌚の行動が䞍十分だったこずを指摘した。
  • 法的責任は耇数の局にわたっお存圚しおいたが、互換性はない。連邊陪審は Paige Thompson に刑事責任を認めた。Capital One は、OCC の調査結果を認吊せずに8,000䞇ドルの制裁金を受け入れた。Capital One ず Amazon に察する消費者からの民事蚎蚟は、䞀郚が蚎答段階で生き残り、埌に和解したため、裁刀所による過倱割合の刀断には至らなかった。
  • 䞻暩に関する教蚓は、囜内クラりドリヌゞョンを遞択すればデヌタ保護が解決するずいうものではない。カナダの玄600䞇人が圱響を受け、うち玄100䞇人の瀟䌚保険番号が流出した。所圚地、デヌタ保持、アむデンティティ暩限、メタデヌタぞのアクセス、暗号化暩限、ログ取埗、芏制圓局の蚌拠ぞのアクセスは、䞀぀のシステムずしお統治されなければならない。

あたりにも狭く捉えられおいた䟵害

Capital One 䟵害のよく知られた説明は簡朔だ。ファむアりォヌルの蚭定ミスにより、攻撃者が Amazon Web Services 䞊のデヌタにアクセスし、1億人以䞊に関連する情報が盗たれた、ずいうものだ。この文のどの郚分も正しい方向を指しおいる。しかし、説明責任の芳点からは、これではあたりにも狭い。あたかも、それ以倖は管理された環境の末端に、たった䞀぀の悪い蚭定があったかのように聞こえおしたう。

公匏蚘録は、より構造的な問題を描写しおいる。Capital One がSEC に提出した2019幎7月29日の発衚では、特定の蚭定脆匱性を悪甚され、倖郚の人物が個人情報を取埗したず7月19日に刀断したず述べられおいる。実質的な䞍正アクセスは3月22日ず23日に起こり、責任ある開瀺の報告が7月17日に到着し、同瀟は蚭定を修正し、連邊捜査圓局ず協力した。たた、クラりド運甚モデルにより、問題が把握されるず迅速に蚺断し修正できたず付け加えた。

この最埌の点は重芁である。Capital One は、クラりド自䜓を原因ずしおは提瀺しなかった。同瀟は、該圓するむンフラ芁玠はクラりドにもオンプレミスにも存圚しうるず匷調した。この立堎は技術的には擁護可胜だ。リバヌスプロキシやりェブアプリケヌションファむアりォヌルは、どちらの環境でも意図しない䞭継点になり埗るし、サヌビスの認蚌情報が過剰な暩限を持぀こずもあり埗る。正圓なアむデンティティが暗号化デヌタを読み取れるのも同様だ。しかし、クラりドはこれらの条件が組み合わさる速床、抜象床、芏暡を倉える。アプリケヌション境界を越えたコマンドは、むンスタンスメタデヌタサヌビスに到達しうる。䞀時的な認蚌情報は、API を通じお別の堎所から行䜿できる。ストレヌゞロヌルは、1台のサヌバヌディスクをはるかに超えるデヌタレむクを列挙できる。クラりド運甚を効率的にするのず同じ自動化が、䟵入者にずっお暩限゚ラヌを効率的にしおしたう。

Capital One の珟圚のむンシデント情報ペヌゞによるず、米囜で玄1億人、カナダで玄600䞇人が圱響を受けた。最倧のデヌタカテゎリは、2005幎から2019幎初頭にかけおクレゞットカヌド商品の申し蟌み時に消費者や䞭小䌁業が提䟛した情報で、氏名、䜏所、郵䟿番号、電話番号、メヌルアドレス、生幎月日、自己申告収入が含たれる。クレゞット顧客デヌタの䞀郚には、スコア、限床額、残高、支払履歎、連絡先デヌタ、2016幎、2017幎、2018幎にわたる23日分の取匕デヌタの断片が含たれおいた。同瀟は、䟵害されたデヌタの䞭に、米囜の瀟䌚保障番号玄14䞇件、リンクされた銀行口座番号玄8䞇件、カナダの瀟䌚保険番号玄100䞇件が含たれおいたず報告した。クレゞットカヌドのアカりント番号ずログむン認蚌情報は流出しなかったずしおいる。

これらの区別は誇匵を防ぐが、管理䞊の問題を単なる数字に矮小化するものではない。アプリケヌションデヌタは、䞎信刀断埌も長期間にわたり個人識別性を保持しうる。収入、䜏所履歎、生幎月日、信甚状態、政府発行識別子は、システム間で結合される可胜性がある。したがっお、この事案は単にバケットがプラむベヌトかどうかの問題ではなかった。アプリケヌション向けのロヌルが保管デヌタ矀にアクセスできた理由、ロヌカルメタデヌタ境界の認蚌経路が倖郚デヌタ経路になり埗た理由、監芖がギャップを埋められなかった理由、玄14幎にわたり収集されたデヌタが䟝然ずしおアクセス可胜な集合に残っおいた理由が問われおいるのである。

時系列ず倉化する説明責任のかたち

日付は、組織が合理的に知っお察応すべきこずがらを倉える。䞻芁な時系列は、䌁業開瀺、埌の起蚎ず有眪刀決、芏制圓局の呜什、裁刀所蚘録から導き出せるが、それぞれの情報源を同皮の蚌拠ずしお扱うべきではない。

日付出来事ず説明責任䞊の意矩
2015幎頃OCC は埌に、Capital One が重芁な技術業務をクラりド環境に移行する前に効果的なリスク評䟡プロセスを確立せず、適切なクラりドリスク管理を構築しなかったず認定した。
2019幎3月12日修正起蚎状は、この日頃から Capital One ぞの䞍正アクセス行為が開始されたず蚎远した。Capital One は別途、発衚した実質的なデヌタアクセスの日付ずしお3月22日ず23日を特定した。
3月22日23日Capital One は、この2日間に倖郚人物がデヌタを取埗したず発衚した。起蚎状は、Thompson が管理するサヌバヌに Capital One のデヌタをコピヌする3月22日のコマンドを蚎因ずしお挙げた。
4月5月民事蚎蚟の蚎答段階での䞻匵によれば、原告らは、ログが远加の接続たたは接続詊行を瀺し、公開投皿が圓該掻動を描写しおいたず申し立おた。これらは、华䞋動議の刀断に際しおのみ真実ず認められた蚎状の䞻匵である。
7月17日GitHub ナヌザヌが、責任ある開瀺チャネルを通じお Capital One にデヌタ盗難の可胜性を譊告した。この倖郚報告が、最終解決に至った内郚アラヌトではなく、発芚の端緒ずなった。
7月19日Capital One は䞍正アクセスの発生を確認し、蚭定問題を修正し、FBI に連絡した。同瀟の2020幎委任状説明曞によるず、経営陣はこの件を取締圹䌚に報告した。
7月29日Capital One が䟵害を公衚。FBI が Paige Thompson を逮捕し、政府が刑事告発を行った。
11月19日AWS が Instance Metadata Service Version 2 をリリヌス。セッション指向のリク゚スト保護ず、新方匏を芁求するかメタデヌタアクセスを無効化する顧客制埡を远加した。
2020幎4月30日FFIEC がクラりドリスク声明を発衚し、金融機関は共有責任を理解しなければならず、単にシステムがクラりドで皌働しおいるこずをもっお管理が有効ず想定しおはならないず匷調した。
2020幎8月5日6日OCC が8,000䞇ドルの民事制裁金ず詳现な業務停止呜什を発出。連邊準備制床理事䌚FRBが持ち株䌚瀟に察する連携呜什を発出した。
2020幎9月連邊地裁が、Capital One ず Amazon による消費者請求棄华の申立おを䞀郚蚱可・䞀郚华䞋。この決定は、䞻匵が法的に十分かどうかを審査したもので、真実性を刀断したものではない。
2022幎6月連邊陪審が7日間の審理を経お、Thompson に察し、電信詐欺、䞍正アクセス、保護コンピュヌタ損壊の有眪評決を䞋した。
2022幎8月9月OCC は8月31日に2020幎の業務停止呜什を終了。連邊裁刀所は9月13日、1億9,000䞇ドルの消費者集団蚎蚟和解を最終承認した。
2022幎10月Thompson に察し、既服圹期ず5幎間の保護芳察䜍眮・コンピュヌタ監芖付きが蚀い枡された。

3月12日ず3月22日の芋かけ䞊の䞍䞀臎は、無理に単䞀の日付にたずめるべき矛盟ではない。2021幎の修正起蚎状は、3月12日頃から始たるより広範な䞍正コンピュヌタアクセス期間を蚎远した。Capital One の発衚は、むンシデント説明の䞭栞ずしお3月22日ず23日のデヌタアクセスを甚いた。時系列では、起蚎された行為経過ず、同瀟によるデヌタ流出の説明ずの間のこの差異を保持すべきである。

同様の芏埋は、圱響人数にも適甚される。圓初の䌚瀟発衚では、米囜で玄1億人、カナダで600䞇人が圱響を受けたずしおいた。米囜の和解管理人は埌に、和解クラスの米囜消費者を玄9,800䞇人ず衚珟した。いずれの数字も、暗黙のうちに正確な党䜓数に倉換しおはならない。それらは異なる蚘録、異なる段階、異なる定矩に属するものだからである。

メタデヌタ境界がいかにしお認蚌情報境界ずなったか

技術的な連鎖は、䞀般に SSRFServer-Side Request Forgeryず略されるサヌバサむドリク゚ストフォヌゞェリから始たる。SSRF 状況では、倖郚の呌び出し元が、サヌバ偎のコンポヌネントに、その呌び出し元が遞択たたは圱響を䞎えたリク゚ストを実行させる。リク゚ストはサヌバのネットワヌク䜍眮から発せられるため、公共むンタヌネットからは盎接到達できない宛先に届く可胜性がある。セキュリティ䞊の問題は、単に URL が受け入れられたこずではない。アプリケヌションが、倖郚者の意図をより信頌されたネットワヌクコンテキストぞ運ぶ代理人ずなっおしたうこずである。

叞法省のCapital One 事件ペヌゞは、この䟵入が、蚭定ミスのあるりェブアプリケヌションファむアりォヌルを通じお行われたず説明しおいる。公刀前に提出された修正起蚎状は、Thompson がスキャナヌを䜜成・䜿甚しお、りェブアプリケヌションファむアりォヌルの蚭定により倖郚コマンドが自瀟サヌバヌに到達し実行されるクラりド顧客を特定したず䞻匵した。それらのコマンドが顧客アカりントたたはロヌルのセキュリティ認蚌情報を取埗し、その認蚌情報を甚いお、暩限のあるストレヌゞバケットを列挙しオブゞェクトをコピヌしたずされる。起蚎状は䞭立的な「クラりドコンピュヌティング䌁業」ずいう衚珟を甚いたが、公開された民事蚘録ず Capital One 自身の提出曞類は、環境が AWS であるず特定しおいる。

EC2 むンスタンスメタデヌタサヌビスは、仮想マシン䞊の゜フトりェアが自身の実行環境に関する情報を取埗し、アタッチされたアむデンティティロヌルに関連する䞀時的な認蚌情報を埗るために存圚する。これは、長期間有効なアクセスキヌをファむルに保存する代わりずしお有甚である。しかし、この蚭蚈は、むンスタンスからのアクセスに意味があるこずを前提ずしおいる。りェブ向けのコンポヌネントが、任意の内郚リク゚ストを送信させられる堎合、「むンスタンスに察しおロヌカル」であるこずは、「蚱可されたワヌクロヌドコヌド」ず等䟡ではなくなる。

AWS の2019幎の IMDSv2 の説明では、メタデヌタアドレスがリンクロヌカルの゚ンドポむントであるこずを瀺し、メタデヌタにはむンスタンスにアタッチされたロヌルの䞀時的な認蚌情報が含たれ埗るず説明しおいる。バヌゞョン2では、゜フトりェアはたず HTTP PUT リク゚ストを行っおセッションを確立しシヌクレットトヌクンを受け取り、その埌のメタデヌタリク゚ストでそのトヌクンを提瀺する必芁がある。AWS は、このプロトコルを、䞀般的なオヌプンりェブアプリケヌションファむアりォヌル、オヌプンリバヌスプロキシ、SSRF 脆匱性、特定のレむダヌ3ファむアりォヌルやネットワヌクアドレス倉換゚ラヌに察する耐性を远加するように蚭蚈した。顧客はバヌゞョン2を芁求したり、メタデヌタアクセスを完党に無効化するこずができた。

分析䞊の重芁なポむントは、プロトコルの改蚂が遡及的に欠陥を蚌明するわけではなく、たた顧客偎の蚭定がプラットフォヌム蚭蚈者をあらゆる蚭蚈責任から解攟するわけでもない、ずいうこずだ。ロヌカルな信頌の前提は、耇数の局で匷化し埗る、ずいうこずである。Capital One は、WAF を制玄し、メタデヌタ゚ンドポむントぞの倖向き通信を制限し、ロヌルを絞り蟌み、到達可胜なストレヌゞを限定し、異垞な API 利甚を怜知し、保持デヌタを削枛するこずができた。AWS は、透過プロキシや SSRF 経路を介したメタデヌタプロトコルの再利甚をより困難にするこずができた。倚局防埡は、アプリケヌションの゚ラヌが自動的にアむデンティティ認蚌情報ぞず成熟すべきではなく、アむデンティティ認蚌情報が自動的に倧芏暡なデヌタ流出ぞず成熟すべきではないず認識する。

WAF だけが䟵害の党容ではなかった

このむンシデントをファむアりォヌルの蚭定ミスず呌ぶこずは、䞉぀の別個の問題を芆い隠す恐れがある。第䞀に、なぜ信頌できないリク゚ストが、ファむアりォヌルたたはその背埌にあるコンポヌネントに内郚の宛先ぞ到達させるこずができたのか第二に、その際にどのアむデンティティが露出したのか第䞉に、そのアむデンティティが䜕をできたのか

第䞀は、アプリケヌションずネットワヌク経路の問題である。りェブアプリケヌションファむアりォヌルは通垞、アプリケヌションに到達する前に有害な入力をフィルタリングする制埡機構ず理解されおいる。このむンシデントでは、関連する蚭定が、それを内郚リ゜ヌスぞの経路の䞀郚にしおいた。この逆転は、クラりドチヌムが゚ッゞ制埡をテストする方法を倉えるべきである。WAF は、単にパブリック境界にあるルヌルセットではない。それは、実行コンテキスト、倖向き到達性、ヘッダ、メ゜ッド、そしおアタッチされたアむデンティティを持぀コヌドである。セキュリティレビュヌは、その制埡自䜓が混乱させられたずきに、䜕に到達し䜕になりすたすこずができるかを問わなければならない。

第二の問いは、メタデヌタ認蚌情報に関するものである。䞀時的な認蚌情報は、埋め蟌たれた長期有効キヌよりも重芁な点で安党だ。぀たり、それらはロヌテヌションされ、有効期限があり、䞀元的にロヌルに関連付けられる。しかし、「䞀時的」ずいうのは持続時間を衚すものであり、暩限を衚すものではない。攻撃者が珟圚の認蚌情報を繰り返し取埗できたり、有効期間䞭に認蚌情報を甚いお倧芏暡なデヌタセットをコピヌできたりするならば、ロヌテヌションは害を防げない。したがっお、認蚌情報の衛生管理には、その認蚌情報が発行される経路ず、それが持぀蚱可を含めなければならない。

第䞉の問いは、最小暩限である。起蚎状は、取埗されたアカりントが、暙的のストレヌゞを列挙しコピヌするのに必芁な蚱可を有しおいたず䞻匵した。民事裁刀所の2020幎9月の华䞋動議呜什は、その手続段階で受け入れられた申立おずしお、アプリケヌション局ファむアりォヌルの蚭定ミスに、おそらく意図よりも広範な蚱可が重なったずいう Amazon の説明を蚘録しおいる。同呜什はたた、ストレヌゞおよびデヌタレむクぞのアクセスに関する原告偎の申立おも蚘録しおいる。これらの箇所は事実審理の認定ではない。それでも有益なのは、裁刀所の刀断が、刑事䞊の䟵入が、法的問題ずしお、セキュリティ䞊の決定ず消費者被害ずの間の因果関係の連鎖を必ずしも切断しないこずを瀺しおいるからである。

したがっお、効果的なレビュヌは、「WAF は修正された」で終わらせるこずを避けるだろう。完党な暩限グラフを再構築するこずになる。すなわち、パブリックリク゚ストからプロキシぞ、プロキシからメタデヌタ゚ンドポむントぞ、メタデヌタ゚ンドポむントからロヌルセッションぞ、ロヌルからストレヌゞ䞀芧ぞ、ストレヌゞ䞀芧からオブゞェクト読み取りぞ、オブゞェクト読み取りから埩号経路ぞ、API 呌び出しからネットワヌク倖向き通信ぞ。すべおの゚ッゞには、所有者、ビゞネス䞊の正圓性、予防的管理、テレメトリが必芁である。誀ったルヌルを䞀぀削陀すれば、既知の経路は塞がれる。それは、アむデンティティずデヌタアヌキテクチャが釣り合っおいたこずを立蚌するものではない。

暗号化はメディアを保護したが、蚱可された䞍正䜿甚は防げなかった

Capital One は、デヌタを暙準的に暗号化し、瀟䌚保障番号や口座番号などの䞀郚のフィヌルドをトヌクン化しおいたず述べた。たた、アクセスされたデヌタは埩号可胜な状況にあったが、トヌクン化されたデヌタは異なる方匏ず鍵を䜿甚しおいたため保護されたたたであったず述べた。これは、「デヌタは暗号化されおいた」ずいうよくある䞻匵が管理䞊の問題を解決するずいう考えに察する重芁な修正である。

保存デヌタの暗号化は、䞻ずしお、ストレヌゞメディア、スナップショット、たたは基盀ストレヌゞが蚱可されたサヌビス経路倖でアクセスされた堎合にデヌタを保護するよう蚭蚈されおいる。アプリケヌションは䟝然ずしおデヌタを読み取る必芁がある。したがっお、クラりドストレヌゞず鍵管理システムは、ポリシヌを満たすアむデンティティに察しお情報を埩号する。攻撃者がワヌクロヌドず同じ読み取り暩限を持぀認蚌情報を取埗した堎合、暗号化は蚭蚈通りに動䜜しながら、蚱可されたマシンアむデンティティを甚いる無蚱可の人間に平文を提䟛し埗る。

これは暗号化に反察する議論ではない。暩限を分離すべきずいう議論である。公開向け制埡に晒されるロヌルは、広範なデヌタ読み取りず鍵䜿甚の蚱可を持぀べきではない。高感床フィヌルドは、䞀般的なストレヌゞ読み取りアむデンティティが越えられないサヌビス境界の䞋でトヌクン化たたは暗号化されるべきである。鍵ポリシヌ、デヌタポリシヌ、ロヌルポリシヌは、䞀぀の認可決定ずしおレビュヌされるべきである。そうでなければ、個別には劥圓な䞉぀の蚭定が亀差しお、いずれの所有者も意図しなかったアクセスを蚱しおしたう可胜性がある。

この事案はたた、なぜ管理報告がカバレッゞず結果を区別すべきかを瀺しおいる。「党オブゞェクトが暗号化されおいる」は、機密性リスクが高いたたであっおも真であり埗る。より有益な取締圹䌚向け指暙は、各実行時ロヌルが機密性の高いオブゞェクトのどの割合を読み取れるか、どのアむデンティティが埩号を呌び出せるか、それらの経路に公開向けワヌクロヌドが珟れるか、ロヌルが本来のプレフィックス、ボリュヌム、リヌゞョン、時間パタヌン倖でデヌタを読み取る頻床はどれほどか、を瀺すであろう。

察応が成功する前に怜知は倱敗した

Capital One の責任ある開瀺プログラムは、倖郚の人物がそれを利甚した際に機胜した。同瀟は、7月17日に報告を受け、7月19日に䟵害を確認し、問題を修正し、FBI に連絡し、7月29日にむンシデントを公衚し、迅速な逮捕に協力したず述べた。これらは意味のある察応の事実である。しかし、なぜ内郚統制システムが3月の掻動を解決に導けなかったのかずいう問いには答えおいない。

OCC の調査結果は、このギャップをより高いレベルで扱っおいる。民事制裁金同意呜什においお、監督官は Capital One が適切なクラりドリスク管理十分なデヌタ損倱防止策ず効果的なアラヌト凊理を含むを確立しおいなかったず認定した。Capital One はこれらの認定を認吊しなかった。「凊理disposition」ずは、単にアラヌトを生成するこず以䞊のものである。それは、むベントが無害か、゚スカレヌションすべきか、封じ蟌めたか、蚌拠をもっおクロヌズしたかを決定するプロセスである。

クラりド環境は豊富なテレメトリを生成する。ロヌルの匕き受け、メタデヌタの䜿甚、ストレヌゞ䞀芧衚瀺、オブゞェクト読み取り、API 送信元アドレス、倖向き通信量、拒吊された呌び出し、ポリシヌ倉曎、デヌタ分類むベントなどである。シグナルが増えおも、自動的に怜知が実珟するわけではない。プログラムはあらゆる関連むベントを収集しおも、ルヌルがシヌケンスを盞関付けない堎合、閟倀がロヌルの通垞動䜜に察しお鈍感な堎合、アラヌトに説明責任を負う所有者がいない堎合、クロヌズ理由が独立的にレビュヌされない堎合には倱敗し埗る。

倖郚報告が発芚に぀ながったずいう事実は、察応の成功であるず同時に保蚌の倱敗ずしお蚘録されるべきである。成功は、そのチャネルが存圚し、監芖され、行動を可胜にしたこずである。倱敗は、4ヶ月前のアクセス経路が、同行自身の統制が最終的な封じ蟌めを生み出す前に、公開掻動を通じお発芋可胜だったこずである。責任ある開瀺は貎重な倖郚センサヌである。それを、認蚌情報の取埗、異垞なバケット列挙、倧量のオブゞェクトコピヌを内郚で怜知する代わりず芋なしおはならない。

OCC は䟵害を移行ガバナンスの倱敗ず芋なした

最も匷力な公開説明責任の蚘録は、技術的事埌分析ではない。それは OCC の2020幎の執行パッケヌゞである。同機関の制裁金発衚は、同行が重芁な技術業務をパブリッククラりドに移行する前に効果的なリスク評䟡プロセスを確立せず、䞍備を適時に修正しなかったず述べおいる。同機関は8,000䞇ドルの制裁金を課し、同行の通知ず改善措眮を評䟡し぀぀、責任あるむノベヌションは䟝然ずしお健党なリスク管理ず内郚統制を必芁ずするず述べた。

同意に基づく調査結果は異䟋なほど具䜓的である。OCC は、2015幎頃に同行が移行前に効果的なリスク評䟡を確立しなかったず認定した。ネットワヌクセキュリティ管理の蚭蚈ず実装、デヌタ損倱防止、アラヌト凊理に欠陥があったず認定した。内郚監査が倚数の統制の匱点やギャップを特定せず、特定された匱点を監査委員䌚に効果的に報告しおおらず、取締圹䌚が監査によっお提起された特定の懞念に぀いお経営陣の説明責任を果たすための効果的な行動を取らなかった、ず認定した。Capital One は、手続費甚を回避するために本呜什に同意し、調査結果を明瀺的に認吊しなかった。

この枠組みは、説明責任の単䜍を倉える。本事案が2019幎に䜜成された単䞀の悪い WAF ルヌルだったのなら、改善措眮ぱンゞニア、倉曎レビュヌ、および圓該コントロヌルに集䞭し埗た。しかし、関連する倱敗が2015幎の䞍十分に評䟡された運甚モデルから始たったのであれば、責任を負うシステムには、移行ガバナンス、クラりド制埡蚭蚈、第二防衛線のチャレンゞ、内郚監査、委員䌚報告、経営陣の改善措眮、取締圹䌚ぞの゚スカレヌションが含たれる。

付随するOCC の業務停止呜什は、その広範な境界を運甚可胜にした。少なくずも3名の取締圹から成るコンプラむアンス委員䌚、曞面による是正措眮蚈画、技術リスク評䟡、クラりド運甚リスク管理、独立リスク管理、統制テスト、内郚監査の改善を芁求した。クラりド蚈画では、境界セキュリティ、機密情報の特定ず保護、䞍正開瀺の防止ず怜知、コンテナ化オブゞェクトの構成管理に取り組たなければならなかった。独立したリスク管理では、包括的なリスクず統制の䜓系を定矩し、固有および残䜙のサむバヌリスクに関する第䞀線評䟡にチャレンゞしなければならなかった。

呜什の統制テスト芁件は特に重芁である。Capital One は、関連するクラりド統制の䞀芧を䜜成し、リスクベヌスのテスト蚈画をその䞀芧ず敎合させ、ギャップを远跡し、改善するか、正匏にリスクを受け入れなければならなかった。内郚監査は、経営陣による技術資産、蚭定可胜デバむス、゜フトりェアの䞀芧の完党性ず正確性を怜蚌し、監査察象範囲を怜査䞊の懞念事項にマッピングし、䟵害根本原因分析からの教蚓を組み蟌み、監査範囲を芋盎し、スタッフの専門知識を評䟡し、監査委員䌚ぞの報告を改善する必芁があった。

これらの矩務は、繰り返されるクラりドガバナンスの過ちに察する答えである。䌁業は統制カタログず監査蚈画を持っおいおも、それらの間に信頌できる関係が欠けおいるかもしれない。統制カタログには経営陣が存圚するず信じおいるものが含たれる。資産䞀芧にはチヌムが運甚しおいるず信じおいるものが含たれる。監査範囲には監査がレビュヌを期埅しおいるものが含たれる。これらの集合が調敎されおいないず、公開向けロヌル、メタデヌタ経路、ストレヌゞバケット、たたは蚭定゚ンゞンが、所有暩モデルの間に介圚し埗る。OCC 呜什は、それらの集合が敎合しおいる蚌拠を芁求した。

取締圹䌚の説明責任は蚌拠であっお、䌚合の頻床ではない

Capital One の2020幎委任状説明曞によれば、経営陣は7月19日の発芚埌、速やかにむンシデントを取締圹䌚に報告した。耇数の委員䌚の独立取締圹ず取締圹䌚党䜓が、むンシデントず察応に関しお20回以䞊䌚合した。取締圹䌚は倖郚専門家を関䞎させ、根本原因ず改善措眮に関する報告を受け、監督を匷化し、リスク委員䌚に匷化されたサむバヌガバナンスのレビュヌにおける䞻導的圹割を割り圓おた。経営陣は、䌁業党䜓のサむバヌ問題ず゚スカレヌションのための䞊玚委員䌚を蚭眮した。

これらは正圓なガバナンス察応だが、䌚合の数は統制が機胜しおいるこずを蚌明できない。OCC の調査結果は䟵害前の期間に焊点を圓おおおり、監査の匱点が効果的に衚面化されず、経営陣が䞀郚の未解決ギャップに぀いお説明責任を問われなかったずされる時期である。したがっお有益な比范は「以前は少なく、以埌は倚い」ではない。取締圹に届く情報が、掻動報告から統制の蚌拠ぞず倉化したかどうかである。

OCC 呜什は、その蚌拠が䜕を裏付けるべきかを定矩した。取締圹は、適時の是正措眮を確保し、措眮が有効であるこずを怜蚌し、十分な人員ずシステムを確保し、経営陣の説明責任を果たさせ、適切か぀タむムリヌな報告を芁求し、䞍遵守に察凊するこずが求められた。取締圹䌚は経営陣、委員䌚、第䞉者に䟝拠するこずができたが、䟝拠するこずは是正措眮を確保する矩務を免れさせるものではなかった。

クラりドのメタデヌタずストレヌゞのリスクに関しお、取締圹䌚向けの資料は具䜓的な質問に答えるべきである。むンタヌネットから到達可胜なワヌクロヌドのうち、いく぀がむンスタンスメタデヌタにアクセスできるかより匷力なセッションプロトコルを必芁ずするものはいく぀かメタデヌタを完党に無効化できるものはどれか公開向けロヌルのうち、機密オブゞェクトストアを䞀芧衚瀺たたは読み取りできるものはいく぀か各ロヌルが䞀぀の認蚌情報の有効期間内に取埗できる最倧デヌタ量はどの管理策が、デヌタが承認されたネットワヌクやリヌゞョンから流出するのを防いでいるか裏付け蚌拠なしにクロヌズされたアラヌトはいく぀あるかクラりド監査の指摘事項のうち、目暙期日を過ぎおいるものはどれで、どの圹員が残䜙リスクを受け入れたのか

これらの質問のいずれも、取締圹にファむアりォヌルの蚭定を求めおいない。それらは、経営陣が䞻匵する運甚境界を実蚌できるかどうかを問うおいる。それが管理ず監督の違いである。取締圹はすべおの API パラメヌタを知る必芁はないが、倖郚の研究者よりも先に危険な組み合わせを芋える化する報告システムを必芁ずする。

共有責任は統制マップであり、責任攟棄ではない

AWS は、クラりドセキュリティがプロバむダヌず顧客の間で共有されるず説明する。AWS 共有責任モデルの䞋では、AWS がクラりドサヌビスを実行するむンフラストラクチャを保護し、顧客の責任はサヌビスの遞択によっお異なり、䞀般的に顧客デヌタ、アむデンティティずアクセス、アプリケヌション゜フトりェア、OS 蚭定、ファむアりォヌル蚭定、暗号化の遞択、トラフィック保護が含たれる。EC2 のようなむンフラストラクチャサヌビスでは、完党マネヌゞドサヌビスに比べ、顧客が運甚スタックのより倚くの郚分を制埡する。

このモデルは、カテゎリヌ゚ラヌを防ぐので有甚だ。コンピュヌティングリ゜ヌスを借りるこずが、プロバむダヌを顧客のアプリケヌション蚱可の運甚者にするわけではない。しかし、図はガバナンスの始たりにすぎない。倚くの重芁な管理策が境界線を越える。プロバむダヌはメタデヌタサヌビスを蚭蚈し、顧客はそれを䜿甚するかどうか、どのように䜿甚するかを決定する。プロバむダヌはアむデンティティポリシヌの仕組みを提䟛し、顧客はロヌルず蚱可を定矩する。プロバむダヌはログを生成し、顧客はそれを有効にし、保持し、ルヌティングし、調査する。プロバむダヌはリヌゞョンの遞択肢を提䟛し、顧客は法的矩務を満たすリヌゞョンずアヌキテクチャを遞択する。プロバむダヌはより安党なデフォルトを可胜にし、顧客は既存のワヌクロヌドを移行し、それらを匷制しなければならない。

FFIEC のクラりドコンピュヌティング声明は、金融セクタヌぞの圱響を明確にしおいる。経営陣は、システムがクラりド環境で皌働しおいるずいうだけの理由で、セキュリティずレゞリ゚ンスの管理策が存圚するず想定しおはならない。声明は、契玄で圓事者の責任を明確にすべきだが、金融機関は匕き続き安党か぀健党な運営ずコンプラむアンスに責任を負うず述べおいる。ガバナンス、クラりドアヌキテクチャ、アむデンティティ、デヌタ管理、脆匱性管理、モニタリング、むンシデント察応、事業継続、監査を、盞互に関連する実践ずしお匷調しおいる。

したがっお、共有責任は、テストできる皋床に正確な統制マトリックスに翻蚳されなければならない。各統制に぀いお、誰がそれを蚭蚈し、誰が蚭定し、誰が運甚し、誰がアラヌトを受け取り、誰が有効性を怜蚌し、どの蚌拠が保持され、蚌拠がない堎合に誰が行動するのかをマトリックスで特定すべきである。「顧客の責任」ずいうラベルは統制の所有者ではない。倧芏暡な銀行では、「顧客」はプラットフォヌム゚ンゞニアリング、アプリケヌションチヌム、クラりドセキュリティ、デヌタガバナンス、アむデンティティ゚ンゞニアリング、゚ンタヌプラむズリスク、内郚監査、法務、あるいはサプラむダヌを意味し埗る。顧客組織内の曖昧さは、顧客ずプロバむダヌの間の曖昧さよりも危険であり埗る。

共有責任の図が民事責任を決定するわけでもない。契玄条件、衚明、技術蚭蚈、通知矩務、因果関係、州法、蚌明された事実のすべおが重芁である。モデルは期埅される運甚の指針ずなり埗るが、それは過倱の叞法的な配分ではなく、免責であるかのように取締圹䌚に提瀺されるべきではない。

刑事責任、芏制䞊の責任、および民事䞊の゚クスポヌゞャヌ

公開蚘録は、それぞれ異なる法的地䜍を持぀耇数の説明責任の圢態を裏付けおいる。

刑事責任が最も明確である。叞法省の刀決発衚は、連邊陪審が Thompson に察し、電信詐欺、保護コンピュヌタぞの䞍正アクセス5件、保護コンピュヌタの損壊で有眪評決を䞋したず述べおいる。怜察偎は、圌女がクラりドアカりントをスキャンしお蚭定ミスを探し、それらを甚いおデヌタずコンピュヌティングパワヌを取埗し、30以䞊の゚ンティティにアクセスしたこずを立蚌した。圌女は既服圹期ず5幎間の保護芳察を蚀い枡された。この確定した犯眪行為は、偶発的な発芋のように和らげお䌝えられるべきではない。

芏制䞊の説明責任は銀行に焊点を圓おた。OCC の制裁金呜什は最終的な同意呜什であるが、Capital One は監督官の調査結果を認吊しなかった。連邊準備制床理事䌚の連携執行発衚は、持ち株䌚瀟がリスク管理、ガバナンス、サむバヌセキュリティ、情報セキュリティ管理を匷化しなければならないず述べた。添付のFRB 同意呜什は、芪䌚瀟の取締圹䌚に察し、そのリ゜ヌスを甚いお各銀行が OCC 呜什を遵守するようにし、取締圹䌚の監督に関する曞面蚈画を提出するこずを求めた。

民事䞊の゚クスポヌゞャヌはより広範だったが、最終的な過倱に぀いおは確定的ではなかった。消費者は、過倱、契玄、䞍圓利埗、通知矩務、消費者保護の法理に基づき、Capital One ず Amazon を蚎えた。2020幎9月、連邊地裁は被告偎の华䞋動議の䞀郚を認め、䞀郚を华䞋した。倧半の過倱請求は生き残ったが、ワシントン州法に基づく過倱請求ず、いく぀かの「過倱それ自䜓negligence per se」の法理は华䞋された。裁刀所はその段階で、Thompson の犯眪行為が、被告ずされる偎の過倱䞻匵を必ずしも遮断するものではないず結論付けた。华䞋動議は適切に申し立おられた䞻匵を真実ずみなすため、この刀断は請求の続行可胜性を確立したに過ぎず、Capital One や Amazon が申し立おられた行為を行ったこずを確定したわけではない。

この蚎蚟は本案審理ではなく和解で終結した。最終承認呜什は、1億9,000䞇ドルの非返還型基金、アむデンティティ防埡・埩旧サヌビス、および業務慣行の確玄を承認した。和解により、Capital One ず Amazon に察する請求は解決された。承認は、裁刀所が亀枉による解決を集団蚎蚟芏則の䞋で公正、合理的、か぀適切であるず刀断したこずを意味する。それは、銀行、AWS、攻撃者の間で䟵害責任の割合を配分するものではなかった。

この区別は重芁である。なぜなら「誰に責任があったのか」ずいう問いは、誀った単䞀の答えを招きかねないからだ。Thompson は犯眪行為で有眪刀決を受けた。Capital One は同意に基づく認定に基づき芏制制裁を受け、是正矩務を受け入れた。Capital One ず Amazon は民事請求に盎面し、䞀郚が生き残り、和解された。プロバむダヌの埌の蚭蚈倉曎は予防に関連するが、法的過倱の自認ではない。各蚘述には、出所ず手続䞊の立堎がある。それらを䞀぀の䞀般化された評決にたずめるこずは䞍正確であろう。

IMDSv2 ず、より安党なデフォルトのガバナンス

AWS は、Capital One の䟵害公衚から4か月足らずの2019幎11月に IMDSv2 を導入した。AWS のリリヌス案内は、それを認可されおいないメタデヌタアクセスに察する防埡の局ず説明した。顧客は、新芏たたは皌働䞭のむンスタンスで匷化されたリク゚スト方匏を芁求するか、メタデヌタアクセスをオフにできた。バヌゞョン1は互換性のために匕き続き利甚可胜ずされた。

IMDSv2 のセッショントヌクンは、いく぀かの混乱した代理人経路に察しお摩擊を生み出す。単玔な GET リク゚ストを転送するプロキシは、最初の PUT を蚱可しないかもしれない。転送ヘッダを挿入するリバヌスプロキシは、トヌクン䜜成が拒吊される可胜性がある。トヌクンはむンスタンスに結び付けられおおり、任意のマシンから単玔にリプレむするこずはできない。ホップ制限は、メタデヌタレスポンスがネットワヌク局を越えおどこたで到達するかを制限できる。これらは、アプリケヌションやプロキシのミスの結果を軜枛するため、貎重なプロトコル制埡である。

これらは最小暩限の必芁性を取り陀くものではない。悪意のあるコヌドが実際にむンスタンス䞊で実行された堎合、正圓なコヌドず同様にトヌクン亀換を実行できるかもしれない。脆匱な SSRF が任意のメ゜ッドずヘッダを蚱可する堎合、保護は䞍完党になり埗る。アタッチされたロヌルが䞍芁なデヌタレむクを読み取れる堎合、残䜙の結果は高いたたである。したがっお、メタデヌタの匷化は䞀連の局のうちの䞀぀であり、ロヌル蚭蚈、出力制埡、デヌタ分割、モニタリングの代替ではない。

デフォルトには時間の次元もある。2019幎圓時、顧客はより匷力な方匏が利甚可胜になった埌、それを遞択し匷制しなければならなかった。AWS は埌にIMDSv2 をデフォルトずするロヌドマップを発衚し、コン゜ヌルのクむックスタヌトや新リリヌスのむンスタンスタむプをバヌゞョン2ぞず移行させ぀぀、互換性オプションを残した。この挞進的倉化は、プラットフォヌムガバナンスのゞレンマを瀺しおいる。即時の匷制的倉曎は既存゜フトりェアを砎壊し埗る。長期にわたる任意性は、叀い前提をそのたたにする。プロバむダヌは移行を枬定可胜にし、アカりントレベルの匷制を提䟛し、残存するバヌゞョン1䜿甚を可芖化し、明確な方向性を蚭定すべきである。顧客は、オプションのセキュリティアップグレヌドを、機胜バックログずしおではなく、所有者ず期限を䌎うリスク刀断ずしお扱うべきである。

取締圹䌚にずっおの教蚓は、デフォルト債務に぀いお問うこずだ。いただに旧来のメタデヌタモヌドに䟝存しおいるワヌクロヌドはどれだけあるのかなぜかそれを無効化するず䜕が壊れるかより䜎いホップ制限に耐えられないアプリケヌションはどれか新たな䟋倖を防ぐ組織ポリシヌは䜕か買収したアカりントや開発環境が蚭定から逞脱しおいないこずを、どのように把握するのか利甚可胜だが未枬定のセキュア機胜は、むンベントリず匷制に結び付けられた移行プログラムよりも保蚌が少ない。

デヌタの所圚地は論理的アクセスを封じ蟌めなかった

この䟵害は、米囜ずカナダの䞡囜に䜏む人々に圱響を及がした。Office of the Privacy Commissioner of Canadaは、Capital One が、瀟䌚保険番号にアクセスされた人々を含む600䞇人のカナダ人が圱響を受けたず報告したこずを受け、調査を開始した。Capital One のカナダ向けむンシデントペヌゞは、囜別の通知ずサポヌトを提䟛した。囜境を越えた圱響は、所圚地を抜象的なクラりド調達の問題から、説明責任の問題ぞず転換する。

本皿でレビュヌした情報源は、圱響を受けたすべおのオブゞェクトの正確な AWS リヌゞョンを確定しおおらず、カナダの蚘録が別個のカナダリヌゞョンに保持されおいたこずも瀺しおいない。その䞍圚はそのたた維持されるべきである。デヌタ䞻䜓の囜籍やグロヌバルなクラりドブランドからストレヌゞの堎所を掚枬するのは無責任であろう。蚘録が確立しおいるのは、䞀぀のむンシデントが、異なる法制床や芏制システムの䞋にある倧芏暡な人々に圱響を及がしたずいうこずである。

AWS はデヌタプラむバシヌ資料の䞭で、顧客が顧客コンテンツを制埡し、プロバむダヌず顧客の責任は共有責任モデルに埓うず述べおいる。同瀟の珟圚のデゞタル䞻暩フレヌムワヌクは、ワヌクロヌドの実行堎所、デヌタアクセス、耐障害性、制埡に関する顧客の遞択を重芖する。これらの胜力は関連性があるが、リヌゞョンの遞択は完党な䞻暩の結果ではない。

所圚地は、通垞運甚の䞋でサヌビスがデヌタを保存たたは凊理するよう蚭定されおいる堎所を瀺す。セキュリティはさらに、誰がサヌビスにその開瀺をさせるこずができるか、認蚌情報はどこで行䜿され埗るか、ログずバックアップはどこに行くか、サポヌトアクセスがどのように制埡されるか、゚クスポヌトされたデヌタが遞択された境界を越え埗るか、にも答えなければならない。Capital One の連鎖では、API 認蚌情報はディスクぞの物理的近接性よりも重倧だった。䞀床ロヌルが蚱可されたものずしお受け入れられるず、ストレヌゞはサヌビスむンタヌフェヌスを通じおオブゞェクトを提䟛できた。囜内リヌゞョンであっおも、それ自䜓ではその論理的経路を防げなかっただろう。

したがっお、䞻暩の管理策には少なくずも四぀の局が必芁だ。第䞀は配眮である。承認されたリヌゞョン、レプリケヌション蚭定、バックアップ、分析、灜害埩旧、サポヌトサヌビス。第二は暩限である。アむデンティティ、鍵の䜿甚、メタデヌタアクセス、ネットワヌク・アカりント・組織・リヌゞョンによっお呌び出しを制限するポリシヌ。第䞉は可芳枬性だ。独立しお管理されるアカりントに保持されたログ、クロスリヌゞョン転送の蚌拠、異垞な送信元䜍眮に察するアラヌト、関連芏制圓局が利甚可胜な蚘録。第四は、出口ず継続性である。デヌタずログを利甚可胜な圢匏で゚クスポヌトし、プロバむダヌのアクセスを無効化し、鍵をロヌテヌションし、リヌゞョンやプロバむダヌ、たたは法的移転メカニズムが利甚できなくなった堎合に、テスト枈みの埩旧アレンゞを運甚する胜力だ。

このむンシデントはたた、むンフラストラクチャの地理が䞍確かであっおも、デヌタ䞻䜓の地理が重芁になり埗るこずを瀺しおいる。Capital One の本瀟が米囜にあるからずいっお、カナダの芏制圓局、圱響を受けた個人、通知の実務、アむデンティティ修埩のニヌズが消えるわけではない。倚囜籍のクラりドプログラムは、゚ンゞニアがデヌタを芋るアカりントやリヌゞョンだけでなく、デヌタセットを、それが衚す人々ず矩務に察応付けるべきである。

デヌタ保持は、アクセス経路を過去の蚘録集ぞず倉えた

Capital One によれば、最も倚くの圱響を受けたカテゎリには、2005幎から2019幎初頭たでのアプリケヌションデヌタが含たれおいた。その期間がリスク分析を倉える。䞎信申請には、資栌審査、法什遵守、䞍正防止、口座開蚭ずいう圓面の目的がある。時間が経っおも、サヌビシング、法的保持、芏制察応矩務、モデルガバナンス、玛争解決、䞍正分析のために䞀郚の情報が必芁であり続けるかもしれない。しかし、その必芁性はフィヌルド、目的、期間ごずに蚌明されなければならない。

デヌタ保持はしばしば、クラりドセキュリティから切り離されたプラむバシヌスケゞュヌルずしお扱われる。この䟵害は、その分離がいかに人為的であるかを瀺しおいる。䟵害されたロヌルによっお到達可胜なデヌタの量ず叀さが、圱響を決定する。完璧な削陀スケゞュヌルは、攻撃者が珟圚の蚘録を読むのを止められないが、䞀぀の認蚌情報むベントが14幎分のアプリケヌション履歎を露出するのを防ぐこずはできる。同様に、あるフィヌルドを機密ず分類しおも、その分類によっおストレヌゞポリシヌ、鍵の境界、アクセスロヌル、削陀ゞョブが倉わらなければ、ほずんど効果がない。

適切な管理策は、単に「叀いデヌタを削陀せよ」ではない。それは、防埡可胜なラむフサむクルである。すなわち、収集目的を特定し、保持の法的・ビゞネス䞊の根拠を明瀺し、アクティブな運甚デヌタを制限付きアヌカむブから分離し、フィヌルドを最小限にし、氞続的識別子をトヌクン化し、削陀を匷制し、文曞化された䟋倖の察象ずなる蚘録のみを保存し、削陀されたデヌタがレプリカ、掟生デヌタセット、キャッシュ、スナップショット、開発甚コピヌにも残っおいないかテストするこずである。すべおの䟋倖には、所有者ず有効期限レビュヌが必芁である。

デヌタアヌキテクチャはたた、集玄を䜎枛すべきである。単䞀のロヌルが、ただ䞀぀の凊理ゞョブがか぀お必芁ずしたずいう理由で、広範な過去のデヌタ集合ぞのアクセスを埗るべきではない。目的、機密性、期間、法域によるパヌティショニングは、アクセスポリシヌに実効性のあるものを䞎える。そうした境界がなければ、最小暩限は非垞に倧きなバケットやデヌタレむクのレベルで䜜甚せざるを埗ず、「このアプリケヌションを実行できる」こずず「この機関の履歎を読める」こずの差が危険なほど小さくなる。

クラりド䟝存には蚌拠䟝存が含たれる

Capital One は単に遠隔のディスクを借りおいただけではなかった。他の倧芏暡クラりド顧客ず同様に、プロバむダヌが定矩するアむデンティティのセマンティクス、メタデヌタの動䜜、API ログ取埗、リヌゞョン構造、ストレヌゞ管理、サヌビス可甚性、文曞、そしおプロバむダヌの蚌拠保存・説明胜力に䟝存しおいた。これは、皌働時間よりも広範な䟝存である。

2019幎のむンシデントは、Capital One の䞭栞銀行サヌビスの長期にわたる公開停止を匕き起こさなかった。継続性の問題は、機密性ず信頌だった。同瀟は、倧芏暡なクラりド環境を調査し、圱響を受けた蚘録を特定し、二぀の囜の人々に通知し、法執行機関や芏制圓局ず連携し、監芖を提䟛し、蚎蚟に察応し、管理策を改善し぀぀業務を継続しなければならなかった。これは蚌拠が損なわれた状況䞋での継続性である。サヌビスは利甚可胜なたたであり埗るが、その機関は、自身の蚘録、アむデンティティプロセス、顧客ずのコミュニケヌションが䟝然ずしお信頌できるかどうかを刀断しなければならない。

Capital One の2019幎 Form 10-Kは、2019幎のむンシデント察応及び改善費甚ずしお7,200䞇ドルの増加費甚を報告し、3,400䞇ドルの保険回収で䞀郚盞殺された。同瀟は、以前発衚したむンシデント関連総費甚1億ドルから1億5,000䞇ドルの䞋限になるず芋蟌んでいたが、䞀郚の費甚は2019幎を超えお発生した。芏制介入、蚎蚟、改善費甚、颚評被害、信頌喪倱に぀いお譊告した。これらの数字は、8,000䞇ドルの OCC 制裁金や埌の1億9,000䞇ドルの集団蚎蚟和解基金より前のものであり、保険、時期、和解範囲、䌚蚈凊理が異なるため、安易に合算すべきではない。

蚌拠䟝存は、契玄䞊および技術的に蚈画されるべきである。芏制察象の顧客は、十分なフィヌルドず保持期間を備えたログ、プロバむダヌのむベントに関する迅速な通知、フォレンゞック収集ぞの協力、保存矩務、リヌゞョンおよびサブプロセッサヌ情報、統制報告曞ぞのアクセス、脆匱性に関するコミュニケヌション、政府・芏制圓局からの芁請ぞの察応プロセスを必芁ずする。たた、䟵害されたワヌクロヌドが倉曎できないセキュリティアカりントに、重芁なログの独自コピヌを保持する必芁がある。サヌビスが正垞に動䜜したず瀺すプロバむダヌのダッシュボヌドは、顧客のアむデンティティが適切に範囲蚭定されおいたこずを立蚌するものではない。

出口蚈画も同じパッケヌゞに含たれるべきである。デヌタずアむデンティティポリシヌを単䞀のプロバむダヌに集䞭させるこずは、暙準化ず可芖性を向䞊させ埗るが、移行を困難にもし埗る。出口テストは、デヌタのむンベントリ䜜成、アクセスポリシヌの再珟、鍵の゚クスポヌトたたは再暗号化、ログの転送、怜知の再構築、所圚地制玄の充足、旧プロバむダヌでの削陀蚌明に芁する時間を枬定すべきだ。マルチクラりド展開が自動的により安党なわけではない。未成熟な管理策を耇補するこずは䞍確実性を倍増させ埗る。目暙は、信頌できるデヌタず蚌拠のポヌタビリティであり、装食的なプロバむダヌ数ではない。

和解が解決したこず、そしお残された課題

消費者和解は倧芏暡だが、その意味は慎重に述べられるべきである。和解は、適栌な自己負担損倱、逞倱時間、アむデンティティ防埡サヌビス、埩旧サヌビス、通知・管理費甚、裁刀所が承認した匁護士費甚のために1億9,000䞇ドルの基金を創蚭した。たた、業務慣行の確玄も含たれおいた。最終承認呜什は、この和解を公正、合理的か぀適切であるず認め、解攟された消費者請求を棄华再蚎犁止ずした。

和解は、修正蚎状のすべおの申立おが真実であるこずを立蚌したわけではない。华䞋動議の背景を蚌拠に基づく認定に倉えたわけでもない。AWS のメタデヌタ蚭蚈が䞀定割合の損害を匕き起こしたずか、Capital One の蚭定が残りを匕き起こしたず刀断したわけでもない。Thompson の刑事責任を消し去ったわけでも、OCC の別個の芏制䞊の調査結果や呜什に取っお代わるものでもない。

この未解決の配分自䜓が、ガバナンスの教蚓である。䌁業は、裁刀所がきれいな割合を割り圓おるのを埅っおから共有の統制を改善するわけにはいかない。プラットフォヌムプロバむダヌは、法的責任が認定されおいなくおも、より安党なプロトコルを远加し埗る。顧客は、芏制圓局の認定に異議を唱え぀぀も、呜什を受け入れお統制を党面的に芋盎し埗る。取締圹䌚は、法的防埡を留保し぀぀、運甚䞊の事実を緊急のものずしお扱うこずができる。法的な姿勢ず改善の姿勢は、矛盟なく異なり埗る。

OCC は埌に、2020幎の業務停止呜什を解陀したず発衚した発効日2022幎8月31日。解陀は、その特定の呜什にずっお重芁な終了点である。しかし、制裁金を取り消すものでも、過去の認定を曞き換えるものでも、クラりドリスクが静的になったず蚌明するものでもない。正匏な呜什がもはや未解決でなくなったこずを瀺すに過ぎない。成熟した取締圹䌚は、呜什に基づく統制䞀芧、テスト、監査、報告の芏埋を、芏制監督の終了ず共に倱効させるのではなく、通垞のガバナンスに転換すべきである。

メタデヌタ、アむデンティティ、所圚地リスクのための゚ビデンスパッケヌゞ

Capital One の蚘録は、パブリッククラりドで高機密ワヌクロヌドを運甚する組織向けの実甚的な゚ビデンスパッケヌゞを支持する。

パブリック経路ず内郚暩限をマッピングする。むンタヌネットから到達可胜なすべおのプロキシ、ロヌドバランサヌ、WAF、API ゲヌトりェむ、アプリケヌションを䞀芧化する。それぞれに぀いお、倖向きの宛先、メタデヌタ到達可胜性、アタッチされたアむデンティティ、蚱可されたメ゜ッドずヘッダ、そのアむデンティティを通じお到達可胜な最倧デヌタ暩限を瀺す。意図したアヌキテクチャ図に察しおだけでなく、攻撃者の芖点から経路をテストする。

メタデヌタの態勢を枬定可胜にする。メタデヌタが必芁かどうか、無効化できるかどうか、必芁なプロトコルバヌゞョン、ホップ制限、ロヌカルファむアりォヌル制限、コンテナぞの圱響、芳枬された旧来の呌び出しを蚘録する。組織レベルたたはアカりントレベルで望たしい状態を匷制する。䟋倖には、䟝存゜フトりェア、リスク所有者、補償的管理策、解陀予定日を特定する。

認蚌情報の圱響範囲を算出する。各実行時ロヌルに぀いお、アクセス可胜なストレヌゞプレフィックス、デヌタベヌス、キュヌ、シヌクレット、鍵操䜜、管理アクションを列挙する。䞀぀の認蚌情報の有効期間内に、どのネットワヌクロケヌションから、どれだけの機密デヌタが読み取られ埗るかを芋積もる。アむデンティティ、リ゜ヌス、鍵、゚ンドポむント、組織ポリシヌの亀差点を含め、実効蚱可をテストする。

ストレヌゞアクセスず埩号暩限を分離する。暗号化は、アプリケヌション経路で露出されるロヌルず同じロヌルに統合されるべきではない。氞続的アむデンティティフィヌルドにはトヌクン化や別個のサヌビスを甚いる。公開向けアむデンティティが鍵操䜜を呌び出したり、その狭い目的倖のデヌタカテゎリを読み取った堎合にアラヌトを発する。

目的ず法域に基づいおデヌタを制埡する。機密性、目的、保持期間、圱響を受ける集団に応じおデヌタにタグを付け、パヌティションを切る。䞀次ストレヌゞ、レプリカ、分析、バックアップ、リカバリに぀いお承認されたリヌゞョンを匷制する。必然的にコンテンツやサポヌトデヌタを移動させるサヌビスを蚘録する。蚭定された堎所だけでなく、クロスリヌゞョンやクロスアカりントの拒吊をテストする。

監査蚌跡を保有する。アむデンティティ、メタデヌタ、ストレヌゞ、鍵、ネットワヌク、デヌタ損倱のむベントを、独立しお管理されるログ環境にルヌティングする。ワヌクロヌドロヌルからログを保護する。認蚌情報の取埗、䞀芧操䜜、オブゞェクト読み取り、埩号、倖向き通信を盞関付ける。アラヌトが生成されたかどうかだけでなく、蚌拠に基づく結論たで調査されたかを枬定する。

統制の範囲を調敎する。経営陣のクラりド統制カタログ、資産䞀芧、蚭定䞀芧、デヌタカタログ、リスク登録簿、監査範囲は、共通の識別子を持぀べきである。内郚監査は、経営陣のリストからのみサンプリングするのではなく、完党性をテストすべきである。䞀臎しない資産や統制は、カバレッゞ䞍明ずしお報告されるべきである。

繰り返される、期限超過の指摘事項を゚スカレヌションする。改善期限を過ぎた蚭定ギャップは、それがさらけ出したたたのアむデンティティやデヌタ経路ず䞊べお衚瀺されるべきである。取締圹䌚報告曞では、責任を負う圹員、補償的管理策、怜蚌方法、期限を明瀺すべきである。クロヌズには、リスク状況が倉化したこずの独立した蚌拠が必芁ずされるべきである。

囜境を越えた察応を蚓緎する。䟵害察応挔習では、どの集団や芏制圓局が関䞎するか、どの蚘録が堎所ずアクセスを瀺すか、囜別の通知がどのように配信されるか、異なる政府発行識別子や信甚システムに察しおアむデンティティ埩旧がどのように機胜するかを特定すべきである。組織は、危機の最䞭に答えを再構築するこずなく、圱響を受けたデヌタがどこに保持されおいたかを説明できるべきである。

プロバむダヌの協力ず出口暩を確保する。契玄ず運甚手順は、タむムリヌなログアクセス、フォレンゞック支揎、むンシデント通知、蚌拠保党、リヌゞョンの確玄、サブプロセッサヌの透明性、削陀蚌明を確保すべきである。チヌムは定期的に、デヌタ、ポリシヌ、鍵、監査蚌跡を利甚可胜な埩旧環境ぞ゚クスポヌトするテストを行うべきである。

このパッケヌゞが厳栌なのは、リスクが組み合わせによっお生じるからだ。WAF はベヌスラむンを満たしおいるかもしれない。メタデヌタサヌビスは文曞化された通りに動䜜しおいるかもしれない。ロヌルにはビゞネス䞊の理由があるかもしれない。バケットはプラむベヌトかもしれない。オブゞェクトは暗号化されおいるかもしれない。ログは存圚するかもしれない。しかし、その亀差点が䟝然ずしお、パブリックリク゚ストを蚱可された゚クスポヌトぞず倉えるこずを蚱し埗る。説明責任は、たさにその亀差点に属する。

氞続的な詊金石

Capital One の䟵害は、二぀の安易な説明を拒むため、有甚なクラりド説明責任の事䟋であり続けおいる。䞀぀目の説明は、パブリッククラりドが䟵害を匕き起こしたずするものだ。これは、顧客が管理する蚭定、蚱可、デヌタアヌキテクチャ、監芖、そしお同行のクラりドリスクプログラムに関する OCC の盎接の認定を無芖しおいる。二぀目の説明は、共有責任が問題を完党に顧客偎に垰属させたずするものだ。これは、プロバむダヌの図を蚭蚈分析の終着点ず扱い、より匷力なメタデヌタサヌビス防埡、より安党なデフォルト、プロバむダヌのテレメトリ、契玄䞊の蚌拠の䟡倀を芋萜ずしおいる。

より優れた説明は、連鎖を远う。公開向けの制埡が意図しないリク゚ストを䞭継できた。そのリク゚ストはメタデヌタの信頌境界に到達した。結果ずしお埗られた䞀時的なアむデンティティは、保存された情報を䞀芧衚瀺しコピヌするのに十分な暩限を持っおいた。暗号化は、蚱可されたものずしお受け入れられた認蚌情報がデヌタを読み取るのを劚げなかった。内郚監芖はタむムリヌな封じ蟌めを生み出さなかった。長い保持期間が露出したデヌタ矀を拡倧した。同じ事象が、米囜ずカナダのプラむバシヌ制床の䞋にある人々に及んだ。監査ず取締圹䌚ぞの報告は、芏制圓局が特定したより広範なクラりド統制ギャップの解決を匷制しおいなかった。

その埌、責任は堎によっお分かれた。攻撃者は有眪刀決を受けた。銀行芏制圓局は Capital One に同意矩務ず制裁金を課した。消費者は Capital One ず Amazon の双方を远及し、請求の䞀郚が生き残り、裁刀による過倱割合の刀断なく和解した。AWS はより防埡的なメタデヌタプロトコルを導入した。Capital One は改善措眮を説明し、取締圹䌚の監督を匷化し、倚額の察応・執行・和解費甚を負担した。

将来の取締圹䌚にずっお決定的な問いは、クラりドプロバむダヌが認定を受けおいるか、バケットが暗号化されおいるか、ファむアりォヌルルヌルが修正されたかではない。その機関が、䞍釣り合いな暩限を持぀ワヌクロヌドアむデンティティを信頌できない経路が取埗できないこず、そのアむデンティティの異垞な䜿甚が怜知され解決されるこず、到達可胜なデヌタが目的・時間・法域によっお制限されおいるこず、そしおプロバむダヌず顧客の蚌拠がリスクを統治するのに十分迅速に統合できるこずを蚌明できるかどうかである。

その蚌明こそが、共有責任の実践的な意味である。それがなければ、責任は単に曞類䞊で分割されおいるに過ぎず、リスクは本番環境で぀ながったたたである。

タむポグラフィ

タむポグラフィは、曞き蚀葉を読みやすく、芖芚的に魅力的にするために文字を配眮する技術および技法である。曞䜓の遞択、ポむントサむズ、行長、行間、文字間隔の調敎が含たれる。

  • タむポグラフィは、15䞖玀にペハネス・グヌテンベルクが掻版印刷を発明したこずに端を発する。
  • 䞻芁な芁玠には、フォントの遞択、カヌニング、トラッキング、行送りが含たれる。
  • 優れたタむポグラフィは可読性を高め、デザむンに雰囲気や調子を䞎える。