米金融大手Capital One Financialが直面したAWSからのデータ漏えい事件は、パブリッククラウドのセキュリティについての懸念を浮き彫りにした。データを確実に保護するために、確認すべき事項を説明する。
2019年夏、金融機関Capital One Financialがクラウドサービス群「Amazon Web Services」(AWS)に保管していた、クレジットカード申請者1億600万人分のデータが漏えいした。攻撃者は、ファイアウォールの構成ミスを悪用してデータを盗み出したと報道されている。盗まれたデータには、氏名、住所、社会保障番号が含まれていた。
今回のAWSへの攻撃は、サーバサイドリクエストフォージェリ(SSRF)の一種だと考えられる。SSRFはサーバに偽装したリクエストを送り、通常は実行を許可すべきではないコマンドを実行させる。SSRFは特に、パブリッククラウドを利用する企業の懸念材料になる。ユーザー企業には、クラウドベンダーがこうした手口を防ぐために必要な手段を講じているかどうかが分かりづらいためだ。
今回の事件の犯人はAWSの関係者だったとみられる。企業の内部関係者によって脅威がもたらされることは少なくない。企業向けセキュリティシステムには、内部関係者によるデータの持ち出しに対して、システムを守るために設計されたデータ損失防止(DLP:Data Loss Prevention)機能が含まれていることがある。
AWSのようなパブリッククラウドについて言えば、インフラ部分のセキュリティ対策を過信してはいけない。ユーザー企業側の管理者が時間を取って、運用するパブリッククラウドのセキュリティポリシーを理解することが不可欠になる。本稿は、パブリッククラウドとそのセキュリティ対策について、調査しておきたい主な領域を幾つか紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.
契約業務の効率化やコストの削減といった効果が期待できることから、多くの企業で「電子署名」の導入が進んでいる。一方で、訴訟問題へと発展した際に証拠として使えるのかといった疑問を抱き、導入を踏みとどまるケースもあるようだ。
半導体ベンダーBroadcomは仮想化ベンダーVMwareを買収してから、VMware製品の永久ライセンスを廃止した。その永久ライセンスを継続する非公認の方法とは。
システム基盤をオンプレミスで運用するか、データセンターやクラウドで運用するかは、業種によって大きく異なる。調査結果を基に、活用の実態を探るとともに、最適なクラウドサービスを考察する。
SaaSサービスが普及する一方、製品の多様化に伴い、さまざまな課題が発生している。特にベンダー側では、「商談につながるリードを獲得できない」という悩みを抱える企業が多いようだ。調査結果を基に、その実態と解決策を探る。
生成AIの活用が広がり、LLMやマルチモーダルAIの開発が進む中で、高性能なGPUの確保に問題を抱えている企業は少なくない。GPUのスペック不足を解消するためには、どうすればよいのか。有力な選択肢を紹介する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。