Amazon S3 will now encrypt all new data with AES-256 by default
2023/01/06 BleepingComputer — Amazon Simple Storage Service (S3) では、サーバ側でバケットに追加された全ての新規オブジェクトが、デフォルトで用いられる AES-256 により自動的に暗号化されるようになった。AWS におけるサーバ側での暗号化システムは、10年以上も前から利用可能だったが、それがデフォルトで有効化され、セキュリティが強化された。したがって、新しい暗号化システムによるバケット保護のための、AWS 管理者によるアクションは不要であり、また、パフォーマンスに悪影響が生じることもないと、Amazon は指摘している。
Amazon のブログには、「今回の変更により、新たなセキュリティのベストプラクティスが自動的に適用される。デフォルトで暗号化を使用していない S3 バケットに対して、自動的に SSE-S3 (Server-Side Encryption) が適用されるようになった。なお、現時点において、S3 に暗号化を適用している既存のバケットに変更は生じない」と記されている。
AWS 管理者は、デフォルトの 256-bit AES による暗号化の継続、もしくは、代替方法である SSE-C (Customer-provided encryption keys) /SSE-KMS (Key Management Service) の、いずれかを選択できる。
1つ目のオプションである SSE-C は、バケット所有者に鍵の制御を与え、2つ目のオプション SSE-KMS は、Amazon に鍵の管理を委託する。ただし、バケット・オーナーは、KMS キーごとに異なるパーミッションを設定することで、より詳細なアセット・アクセス・システムの制御が可能になる。
バケットに適用された変更を、管理者が確認する際には、追加費用なしで CloudTrail を設定し、データ・イベントをログに記録できる。設定後に、テスト・オブジェクトをアップロードすると、イベントログの [SSEApplied:Default_SSE_S3] フィールドで、アップロードされたファイルのログが確認できる。
すでに S3 バケットに保存されているオブジェクトを、遡って暗号化する方法については、公式ガイドで確認できる。
セキュリティの大問題を解決する
データベースの漏洩は、長年に渡ってセキュリティの悩みの種となってきた。不適切な慣行やミスコンフィグレーションにより、何百万人分もの機密情報が流出することも少なくなかった。
Amazon S3 ストレージ・バケットに関する2件の顕著な例としては、2017年12月に発した 1億2300万世帯分のデータ流出と、2019年4月に発生した 5億4000万件の Facebook ユーザー・レコードの流出が挙げられる。
それらのデータに暗号化が施されていれば、悲惨な結果にはならなかっただろうが、残念ながら、それに伴う諸経費や、運用の複雑さ、パフォーマンスの犠牲などの理由により、データベースの暗号化は避けられるのが一般的だ。
Amazon がサーバ・サイドの暗号化を、ゼロクリックで行えるようにしたことは、セキュリティ向上への基本的なステップであり、今後においても避けることのできない、データ・インシデントの影響を軽減することになるはずだ。
256-bit AES 暗号アルゴリズムの強度について言うなら、現在でも最強の暗号アルゴリズムの1つと見なされ、米国政府からも利用が推奨されている。さらに、256-bit AES の突破が、数多く試みられているが、既知の脆弱性は見つかっていない。
クラウドからのデータ流出と言うと、Amazon S3 のミスコンフィグレーションを思い浮かべてしまうほど、この種のインシデントが多発しています。なかなか止まらないミスコンフィグレーションという問題も、解決していく必要がありますが、デフォルトで 256-bit AES 暗号を提供することで、万が一、なんらかの問題が報じても、被害を抑えていくという発想は大歓迎されるでしょう。よろしければ、以下の記事も、ご参照ください。
2022/01:SEGA Europe が AWS S3 バケットを誤って公開
2022/06:Pegasus Airline から漏洩した S3 バケット 6.5TB の機密情報
2022/07:S3 バケットでミスコンフィグ:空港機密データ 3TB が流出
IoT OT Security News 
You must be logged in to post a comment.