最近では、ほとんどの大企業と多くの中堅企業が何らかの形式のデータ ガバナンス プログラムを実施しており、通常はデータの保持と破棄に関するポリシーが含まれています。 顧客データへの攻撃が増加していることや、顧客データの保護を義務付ける州法および国の法律があるため、これらは不可欠になっています。 「すべてを永遠に保持する」という古いマインドセットは、「持っていなければ、それを破ることはできない」に変わりました。
いくつかの点で、データ保持ポリシーの管理は、クラウドでの実装がこれまでになく簡単になりました。 多くの場合、クラウド ベンダーは簡単なテンプレートとクリック ボックス設定を使用して、特定の期間データを保持し、その後準オフラインのコールド デジタル ストレージに移動するか、直接ビット バケット (削除) に移動します。 クリックして構成するだけで、情報セキュリティの次の優先事項に進むことができます。
削除をクリックするだけですか?
しかし、私は、しばらく頭の中で燃えていた厄介な質問をするつもりです。 「削除」をクリックすると、そのデータは実際にどうなりますか クラウドサービスで? オンプレミスのハードウェアの世界では、誰もが答えを知っています。 それが存在するディスク上で単に登録解除されるだけです。 「削除された」データはまだハード ドライブに残っており、オペレーティング システムのビューからは消えており、 スペースが必要になったときに上書きされるのを待っています. 完全に消去するには、ビットをランダムな XNUMX と XNUMX で上書きするための追加の手順または特別なソフトウェアが必要です。 場合によっては、削除されたデータの幻の電子的痕跡を完全に消去するために、これを複数回行う必要があります。
また、米国政府またはその他の規制対象の組織と取引を行う場合は、以下を遵守する必要がある場合があります。 国防総省規格 5220.22-Mには、請負業者のデータ破壊要件に関する詳細が含まれています。 規制で義務付けられていなくても、これらの慣行は一般的です。 侵害が発生した場合に、不要なデータが戻ってきて悩まされることは望ましくありません。 Twitch ゲーム ストリーミング サービスの侵害ハッカーが基本的に会社の創業にほぼ遡るすべてのデータへのアクセスを得ることができた.過去数年間の放棄または孤立したデータ ファイルの侵害。
検証へのアクセスの欠如
そのため、ほとんどのクラウド サービスではオンプレミス サーバーと比較してポリシーの設定と管理が容易ですが、DoD 標準に従ってポリシーが適切に実行されることを保証することは、クラウド サービスでははるかに困難または不可能です。 基盤となるハードウェアに物理的にアクセスできないクラウド インフラストラクチャで、データの低レベルのディスク上書きを行うにはどうすればよいでしょうか? 答えは、ソフトウェア ユーティリティや物理ディスク ドライブの完全な破壊によって、少なくとも私たちが行っていた方法ではできないということです。 AWS、Azure、または Google Cloud Services のいずれも、これを行うオプションやサービスを提供しておらず、別のハードウェアで実行される専用インスタンスでさえも提供していません。 それを行うために必要なレベルのアクセス権がありません。
主要なサービスへのアウトリーチは無視されるか、データを保護する方法に関する一般的な声明で回答されました. AWS や Azure などのクラウド サービスで「リリース」されたデータはどうなるか? 単にディスク上に置かれ、インデックスが作成されておらず、上書きされるのを待っているのでしょうか。それとも、サービスの利用可能なストレージに戻される前に、ある種の「ビット ブレンダー」を使用して使用できないようにされているのでしょうか? 現時点では、誰も記録上知っているか、またはそれを言おうとしているようには見えません。
新しい現実に順応する
私たちは開発しなければなりません 国防総省の基準を満たすクラウド互換の破壊方法を採用するか、ふりをするのをやめて、この新しい現実に合わせて基準を調整する必要があります。
基盤となるハードウェアに直接アクセスできるのはクラウド プロバイダーだけなので、クラウド プロバイダーはこの機能を提供するサービスを考え出すことができるかもしれません。 彼らは料金を請求する新しいサービスを発明することをためらうことはありませんでした。適切な廃棄証明書が提供されれば、確かに多くの企業がそのようなサービスにお金を払いたがるでしょう。 おそらく、認定された物理的破壊サービスを提供する一部の企業が請求する料金よりも安くなるでしょう。
Amazon、Azure、Google、およびあらゆる主要なクラウド サービス (サービスとしてのソフトウェア プロバイダーでさえも) は、難読化やマーケティングの話ではなく、本当の答えでこれらの問題に対処する必要があります。 それまでは、優秀なハッカーがこの孤立したデータにアクセスする方法をまだ見つけていないのであれば、それを見つけ出さないことを祈っています。 いずれにせよ、 クラウド データの破壊に関する難しい質問は、質問して回答する必要があります、 すぐにでも。
