Uberの失敗と教訓　5700万人分の個人データ流出

クラウド利用のセキュリティ管理はユーザーで

　クラウドからの同様の情報流出は他にも起こっている。Bloombergは11月に、中国のドローンメーカーSZ DJI Technologyが、AWSアカウントや自社のWebサイトへのログインキーをGitHubに投稿したコードで公開しまっていた例を挙げる。また、Uber自身も以前に同様の問題を起こしていた。同社の開発者は2014年、GitHub上にAWSのアカウントそのままにしていたことで、5万人のドライバー情報が不正に取得されるという事態を招いた。

　「信じられないぐらいよくあることだ。リポジトリが非公開と思ってのことだが、これは悪い習慣だ」とセキュリティ専門家のEdwin Foudil氏はBloombergに語っている。開発者の多くが利便性から外部のクラウドにコードを保存し共有しているとして、懸念する声も出ている。

　Wall Street Journalは「データがさまざまな場所に分散するボーダーレス・エンタープライズの時代」に、企業がどうやってデータのセキュリティを守るのかという問題を投げかけていると解説する。オンプレミスのシステムだけを保護していた時代とは違うというのだ。

　そして、これにはクラウド側だけに責任があるとは言えない。GartnerのAvivah Litan氏は「安全なソースコードへのアクセスを制御することはユーザー企業の責任だ。データがクラウドにあるのか、オンプレミスなのかは関係ない」とWall Street Journalに述べている。

　またLitan氏は、そうしたサービスは、CiscoやIBMなどの大手から専門企業などのベンダーが提供しており、ベンダーのサービスを使わないならば、ユーザー自身がクラウドサービスに付属するセキュリティ制御機能を使って対応すべきだ、と続ける。