Azure、AWS、Google Cloud がクラウドでデータ破壊を処理する方法

セキュリティ機関 Cyber​​security Insiders が発表した市場調査レポートによると、93% の組織がパブリック クラウドのセキュリティを懸念しており、この不信感は情報不足に起因している可能性があります。クラウド コンピューティング サービス プロバイダーは顧客を知り、いくつかの問題を理解し、顧客の信頼を得るために広範なドキュメントと販売保証契約を開発しています。業界をリードするクラウド コンピューティング プロバイダーによって行われた主要なドキュメントの改善の 1 つは、データ破棄に関する透明性です。これらのドキュメントを分析すると、クラウド コンピューティング サービス プロバイダーが顧客のデータを削除した場合に何が起こるかを把握できます。

組織は、クラウド サービス プロバイダー (CSP) と連携する前に確認する必要がある多くのセキュリティ制御の 1 つとして、クラウド プロバイダーによるデータ破壊に注意する必要があります。クラウド セキュリティに関しては、特定のセキュリティ制御によって軽減できるのは特定のリスクのみであり、サイバー セキュリティに関しては、万能のソリューションは存在しません。したがって、特定のセキュリティ制御で対処できる問題と対処できない問題を理解することが重要です。

しかし、なぜデータ破壊は重要なセキュリティ管理なのでしょうか?不正アクセスを防ぐために機密データを保存する必要がなくなった場合は、そのデータを破棄する必要があります。組織はデータを破棄する前に、データを適切に保護する必要があります。適切に破棄されていないクラウド内の機密情報に、権限のない人がアクセスするにはどうすればよいでしょうか?以下のことが可能です:

• フォレンジック ツールを使用して、クラウド サービス プロバイダーのハード ドライブからデータを抽出します。
• 他のユーザーのデータ残余を取得する;
• クラウド コンピューティング プロバイダーが提供するデータへの特権内部アクセスを使用する。
• バックアップから機密データを復元します。

多くの人にとって、機密情報に不正にアクセスするための最初の戦略は、何らかの方法でハードドライブにアクセスし、フォレンジックツールを使用してそこからデータを抽出することです。

ハードドライブの物理的セキュリティ

大規模で洗練されたクラウド コンピューティング サービス プロバイダーは、物理的なセキュリティに優れています。通常、クラウド コンピューティング サービス プロバイダーのデータ センターにアクセスできるのは少数の人だけであり、ハード ドライブの管理を専門に担当する人がいます。機械式ハードディスク (HDD) の寿命には限りがあり、クラウド コンピューティング サービス プロバイダーは毎年何万台もの HDD を破壊する可能性があります。クラウド コンピューティング サービス プロバイダーは、ソフトウェアを使用して各ハード ディスク ドライブ (HDD) をシリアル番号で追跡し、いつでもその正確な位置を把握します。ハード ドライブの耐用年数が終わると、クラウド コンピューティング サービス プロバイダーはハード ドライブを細断するか、同様の手段を使用して物理的に完全に破壊します。独立した監査会社がこのプロセスを綿密に監視し、レビューします。

データ抽出

サイバー攻撃者が何らかの方法で物理ハードドライブにアクセスできる場合、さまざまなフォレンジック技術を使用してデバイスから機密データを抽出しようとする可能性があります。しかし、ユーザーのコンピューターのハードドライブとは異なり、クラウド コンピューティング サービス プロバイダーが使用する各ハードドライブには、数百人の異なるユーザーのデータが含まれている可能性があります。フラグメントが暗号化されていない場合でも、サイバー攻撃者がフラグメントを特定のテナントに関連付けることはほぼ不可能です。このようなフラグメントには識別データ要素が 1 つしか含まれず、マッピング情報がないため、サイバー攻撃者が特定のターゲットのハード ドライブを識別することは不可能です。以下では、ユーザー固有のキーを使用してデータを暗号化する利点について説明します。

他のユーザーからのデータの残り

多くの人が物件を借りた経験があり、前の入居者がゴミや私物を残していったことに気づくことがよくあります。これは、組織がクラウド プラットフォームのテナントになったときに望んでいることではありません。 AWS、Microsoft Azure、Google Cloud Platform では、このような事態を防ぐために、クラウド コンピューティング システムにセキュリティを組み込んでいます。

「Amazon S3 からオブジェクトが削除されると、パブリック名からオブジェクトへのマッピングの削除が直ちに開始され、通常は数秒以内に分散システムを通じて処理されます」と、AWS が発行した「AWS のセキュリティ プロセスの概要」というタイトルのホワイト ペーパーに記載されています。 「マッピングが削除されると、削除されたオブジェクトへのリモート アクセスは無効になり、基礎となるストレージ領域がシステムで使用できるように再利用されます。」

Amazon EBS ボリュームは、使用可能になる前に消去される、フォーマットされていないブロック デバイスとしてユーザーに提供されます。

Amazon EBS の場合、技術仕様に従ってサイズが変更されるまで、ユーザーに提供される EBS ボリュームからデータを安全に消去することは困難です。

最初は、AWS が新しいユーザー用にデータが再構成されるまで待ってからデータを削除するのではないかと心配する人もいるかもしれません。ただし、これが最も効果的であり、SSD の耐用年数を延ばします。また、EBS ボリュームが単一の物理ハードドライブでホストされていると誤解しないでください。 AWS のドキュメントには、「Amazon EBS ボリューム データは、単一のコンポーネントの障害によるデータ損失を防ぐために、アベイラビリティー ゾーン内の複数のサーバーに複製されます」と記載されています。

Microsoft のシニア プログラム マネージャーである John Molesky 氏も同様の声明を出しています。「削除されたデータに関連付けられたハード ドライブ上のセクターは、すぐに再利用でき、関連付けられたストレージ ブロックが他のデータの保存に再利用されると上書きされます。上書きにかかる時間はドライブの使用率とアクティビティによって異なりますが、2 日を超えることはほとんどありません。これは、ログ構造化ファイル システムの動作と一致しています。Azure ストレージ インターフェイスでは、ドライブへの直接読み取りアクセスが許可されないため、別の顧客 (または同じ顧客) が、上書きされる前に削除されたデータにアクセスするリスクが軽減されます。」

これは、顧客がクラウド サービス プロバイダーに開示を求める種類の情報であるため、Microsoft がブログの抜粋で提供する追加情報です。 Microsoft は最近、データは新しい顧客から提供されるまで消去されないと発表しており、Azure クラウド プラットフォームでは、これらの高度に最適化されたリソースが使用率が高いために数日以内に自然に上書きされるという追加のシナリオが提供されています。

Google Cloud Platform でもログ構造化ファイル システムを使用していることに注意することが重要です。私たちは、すべてのクラウド コンピューティング サービス プロバイダーが、これらのシステムに関する追加の技術的詳細と、それに関連するセキュリティ上の影響を提供することを期待しています。クラウド コンピューティング サービス プロバイダーがハード ドライブに対して厳格な物理的セキュリティを維持していることを考慮すると、このデータ処理は、パブリック クラウドでの保存に適したあらゆる分類のデータに対して許容されます。

インサイダー特権

クラウド コンピューティングのユーザーは、データがライフサイクル全体にわたって、またデータが破壊されてアクセスできなくなるまで保護されることを期待しています。ユーザーデータが破壊される前に外部からの攻撃から保護するための安全対策も講じられていますが、信頼できる内部者からデータを保護するにはどうすればよいでしょうか? AWS、Azure、Google Cloud Platform が提供するセキュリティ ドキュメントには、バックグラウンド チェック、職務の分離、監督、特権アクセスの監視など、適用可能なセキュリティ制御が記載されています。

組織が直面する内部脅威の主な問題は、従業員と請負業者が広範なシステム知識を持ち、パブリック クラウドの顧客に公開されていない下位レベルのシステムにアクセスできることです。 U.S. CERT の National Insider Threat Center は、クラウド コンピューティング ユーザーが、削除されて破棄を待っているデータを保護するためにどのような制御が実施されているかを調べる必要があるという詳細なガイダンスを提供しています。テクノロジー分野の顧客がクラウド サービス プロバイダーに詳細な質問をすると、優れたクラウド サービス プロバイダーはそれに耳を傾け、より透明性の高いドキュメントで応答します。

暗号化は、適用すると不正な内部者によるアクセスを軽減できるセキュリティ制御です。サービスが暗号化を使用していると聞いて、難しい質問をしなくなったユーザーもいる。暗号化は、暗号化キーを持たない人やシステムへのアクセスを制御するテクノロジーです。たとえば、データベース暗号化を使用すると、データベース管理システムはキーを制御し、アクセスを制御します。データベース管理者 (DBA) はデータを直接照会できますが、データベースで使用されるストレージ システムの管理者は暗号文しか表示できません。ただし、キーがアプリケーションによって制御されている場合は、データベース管理者 (DBA) とストレージ システム管理者の両方が暗号文を見ることができます。

暗号化消去技術を使用すると、暗号化キーの唯一のコピーが破壊され、暗号化されたデータは回復できなくなります。 NIST 特別刊行物 800-88、改訂 1 では、暗号消去が、パブリック クラウド環境に簡単に実装できる特定のパラメータ内での効果的なデータ破壊テクノロジであると認識されています。

Azure のドキュメントには、暗号化はすべてのストレージ アカウントに対して有効になっており、無効にすることはできないと記載されています。 Google Cloud でも同じことが言えます。ただし、AWS では、S3 や EBS などのサービスの構成オプションです。

しかし、AWS と Azure はユーザーデータを破壊するために暗号消去技術を使用していますが、その技術を十分に活用しているわけではありません。さらに、クラウド サービス プロバイダーがさまざまなサービスにわたって保存時の暗号化にテナント固有の暗号化キーを使用するタイミングが不明瞭な場合がよくあります。ユーザー固有の暗号化キーを暗号消去と組み合わせると、単一のテナントに属するデータのみが破棄されます。暗号消去は、特にクラウド ストレージに数百ペタバイトのデータがある顧客にとって、データを上書きする非常に魅力的な代替手段です。

バックアップからデータを復元する

最後の攻撃ベクトルは、サイバー攻撃者がデータ バックアップから機密データを回復しようとすることです。契約書にこのサービスの提供が明確に規定されていない限り、ユーザーはクラウド コンピューティング サービス プロバイダーがデータのバックアップを支援すると想定してはなりません。クラウド コンピューティング サービス プロバイダーは、データの耐久性と可用性に関するサービス レベル契約を満たすために、主にバックアップまたはスナップショット テクノロジを使用します。

バックアップ データが必要な場合は、少なくともプライマリ データ ストアと同じレベルのセキュリティでバックアップを保護する必要があります。 3 大クラウド コンピューティング サービス プロバイダーのうち、Google の「Google Cloud Platform のデータ削除」というドキュメントには、期限切れのデータを削除する方法と、毎日/毎週/毎月のバックアップ サイクルの 180 日間のスケジュールからデータをローテーションする方法に関する情報が記載されています。名誉のために言っておくと、この文書では、すべてのバックアップからデータが期限切れになる前に保護する上での暗号消去の重要な役割についても取り上げられています。

世界の 3 大クラウド コンピューティング サービス プロバイダーが、システムのセキュリティを確保するために多大な努力を払ってきたことは間違いありません。すべてのクラウド コンピューティング サービス プロバイダーは、過剰な情報開示から保護する必要性と同時に、顧客の信頼を維持するために十分な透明性を提供する必要性のバランスを取る必要があります。クラウド コンピューティング ユーザーがクラウド コンピューティング サービス プロバイダーと通信して交渉し、情報に基づいたリスク判断を行うために適切な情報を求めるにつれて、クラウド コンピューティング サービス プロバイダーによるセキュリティ保護の説明も進化します。