AWSがAmazon S3でデータ暗号化の自動適用を開始、暗号化されていない既存バケットはどうなる？：暗号化設定のし忘れを防止

AWSはオブジェクトストレージの「Amazon S3」で、新規オブジェクトをユーザー側の操作なしにデフォルトで暗号化するようにしたと発表した。2023年1月5日より、世界中の全リージョンで適用が開始された。

[三木泉，＠IT]

　Amazon Web Services（AWS）は2023年1月5日（米国時間）、オブジェクトストレージサービス「Amazon S3」で、オブジェクト暗号化の自動適用を開始したと発表した。世界中全てのリージョンが対象。これにより、暗号化設定のし忘れに起因するデータ漏洩（ろうえい）を防止する。

　暗号化では、AWSが2011年より提供してきた「Amazon S3 Server Side Encryption（SSE-S3）」をデフォルトで適用する。SSE-S3ではS3による鍵管理の下で、256ビット AESを用いたデータ暗号化を行う。全ての暗号化、復号、鍵管理のプロセスは、意識せずに利用できる。今回の変更により、ユーザー側は暗号化について何の設定や操作をすることなく、自動的にSSE-S3を利用できることになる。

　「2023年1月5日以降、Amazon S3への全ての新規オブジェクトのアップロードは、追加料金なしで、パフォーマンスに影響を与えることなく自動的に暗号化される。この変更により、セキュリティ上のベストプラクティスが自動的に有効となる」と同社は説明している。

　今回の変更によるデータ暗号化の状況は、AWS CloudTrailのデータイベントログで確認できるようになっている。また、今後数週間以内に、AWS Management ConsoleのS3セクション、Amazon S3インベントリ、Amazon S3 Storage Lens、AWS CLI、AWS SDKで可視化できるようになるという。

AWS CloudTrailでデータ暗号化を確認できる

既存バケットの暗号化設定はどうなる？

　S3のデータ暗号化には、SSE-S3の他にAWS Key Management Serviceで管理する鍵を使用する「SSE-KMS」もある。今回の変更により、新規バケット／オブジェクトにはSSE-S3が自動適用されることになったが、従来通りSSE-KMSを利用することもできる。

　では、既存のバケットにはどのような影響があるのか。

　まず、暗号化が設定されていない既存バケットには、自動的にSSE-S3が適用される。一方、既存のバケットにSSE-S3あるいはSSE-KMSを適用済みの場合、これらの設定が自動的に変更されてしまうことはない。従来の設定をそのまま使い続けることができる。