パブリッククラウド利用を進める上で、セキュリティの観点から注意すべきことは何か。AWSのCISO室のディレクターが顧客が“やりがちなミス”を明らかにした。
この記事は会員限定です。会員登録すると全てご覧いただけます。
クラウドの設定においてミスや誤りを犯すのは簡単だ。Amazon Web Services(AWS)のCISO(最高情報セキュリティ責任者)室でディレクターを務めるマーク・ライランド氏に聞けば、それがよく分かるだろう。
ライランド氏は「Black Hat USA 2023」のインタビューで「AWSの顧客がアプリケーションやワークロードのための原則を作成し、APIを呼び出す必要がある場合、それがEC2ロールかIAM(Identity and Access Management)ユーザーであるかどうかにかかわらず、その原則に割り当てられるアクセスレベルと権限を制限する必要がある」と語った。
ライランド氏は次のようにも述べている。
「多くの場合、組織はアイデンティティーとアイデンティティーシステムに対して、最小特権の原則を適用していない。それこそ、私がいまだに目にする最も重大な問題だ」
これは特にソフトウェアの統合においてよく見られるケースだ。ライランド氏は「ソフトウェアが実行する操作は一部のものでしかない。そのためソフトウェアに対して、それ以外の全ての操作を可能にする許可を与える必要はない」と指摘する。
調査企業Synergy Research Groupによると、AWSはパブリッククラウドインフラの市場を支配しており、2023年6月30日(現地時間、以下同)までの3カ月間で発生した支出の総額の3分の1がAWSに関するものだったという(注1)。
クラウドの設定ミスはサイバー侵入において中心的な役割を果たし、その効果は持続的なものとなる。Google Cloudが2023年8月のはじめに公開した調査によると、クラウドに関連する5つの情報漏えいのうち3つ以上は、アイデンティティーおよびアクセス管理の不備に直接関連している(注2)。
しかし、これらのミスによるサイバー攻撃は回避できる。
あるソフトウェアが実行される際に必要となる操作は25種類に及ぶと言われている。例えば「Amazon EC2」で動作するソフトウェアは「Amazon S3」から設定をダウンロードしたり、リレーショナルデータベースサービスからバックアップを実行したりする必要があるだろう。
「あなたがすべきはソフトウェアが実行される際に必要な権限を25種類の操作に限定し、それ以外の操作に関する権限を与えないことだ。これにより最初からリスクを軽減できる」(ライランド氏)
ライランド氏は「こうした状態において、何かしらの形で認証情報が漏えいしたり、ハッキングにより認証情報が盗まれたりしても、攻撃者が実行できる操作は25種類に限られる」と話す。
「攻撃者はあなたのIAMの原則を変更したり、新しい原則を追加したり、権限の内容を変更したりできない。彼らは盗んだ認証情報を利用してより強力な操作を実行できなくなる」(ライランド氏)
しかし一部のAWSの顧客は時間を節約し、統合が壊れるのを避けるために、最初からソフトウェアにさまざまな操作を可能にする完全な権限を与えることがある。これらの不必要に拡大された権限はシステムの弱点となる。
ライランド氏は「ソフトウェアはハッキングされ、攻撃者は非常に強力な認証情報を得ることになる」と言う。
クラウドの顧客はソフトウェアが過去30日間に呼び出したAPIを振り返ることで、どこまでアクセスを制限すべきか判断できる。AWSは必要な権限のみを許可する自動ポリシーを生成できるが、それには31日以前に発生した正当なAPIの呼び出しが含まれない可能性がある。
ライランド氏によると、AWSは将来、過去の使用状況に基づいて権限を自動的に制限する機能を構築するかもしれないが、組織はその過程で何かが壊れるリスクを受け入れなければならないという。
「私たちは権限を自動的に制限する機能をまだ構築していない。しかしそれらを構築できれば、人々の進歩を促してセキュリティにおいて何を実現できるかを考える良い機会になるだろう。セキュリティのために他に何ができるのか、私たちは考えなければならない。私たちはこうした歩みを止めてはならないのだ」(ライランド氏)
(注1)Cloud market growth plateaus as hyperscalers anticipate AI boom(CIO Dive)
(注2)Poor access management besets most cloud compromises, Google says(Cybersecurity Dive)
© Industry Dive. All rights reserved.