クラウドのセキュリティを脅かす理由の一端が明らかになった。それはクラウドを利用する組織のIAMポリシーの欠如だ。緩いIAMポリシーに起因するリスクを分かりやすく解説する。
IDおよびアクセス管理(IAM)のポリシーを適切に管理していない組織が多過ぎるとPalo Alto Networksは言う。同社は、99%の組織のIAMポリシーは「あまりにも緩い」と指摘する。
200以上の組織における1万8000のクラウドアカウントで68万以上のIDを分析したPalo Alto Networksは、その結果を「衝撃的」と評した。同社のジョン・モレロ氏(Prisma Cloud担当部門のバイスプレジデント)は言う。「分散し、急速に進化し、動的に変化するというクラウドの性質を考えると、効果的で適切なIAMポリシーなしではセキュリティを確保できない」
こうした問題は、主としてユーザーアカウントの誤った管理から生じると同社は指摘する。44%の組織がIAMパスワードの再利用を許可し、53%のクラウドサービスが脆弱(ぜいじゃく)なパスワードの利用を許可している。
それだけではない。必要な範囲をはるかに超える操作を実行できる権限を与えていることも明らかになった。組織の99%が、全く使われていないか、長期間使われないロール、サービス、リソースに過剰なアクセスを許可した状態で放置しているという。
クラウドプロバイダーの組み込みIAMポリシーを誤って使っていることも多い。
過剰なアクセス許可と緩いポリシーが組み合わされば、攻撃者に金庫の鍵を渡したも同然だ。
コロナ禍によってクラウドの採用が大幅に増加した。現在のクラウド環境は攻撃者にとってこの上なく魅力的だ。
Palo Alto NetworksのUnit 42チームは、クラウドを狙う攻撃者とそれ以外の攻撃者を分けて定義すべきだと考えている。クラウドを狙う攻撃者はクラウド用にチューニングした戦術、手法、手口を展開し、IAMポリシーの誤った管理がほぼ普遍的な弱点であることを熟知している。
これまでは無防備なクラウドストレージインスタンスや構成ミスのあるインスタンスをスキャンするだけだった攻撃者が、ゼロデイや(「Log4Shell」などの)ゼロデイに近い攻撃を取り入れようとしている。ゼロデイ攻撃はクラウドプロバイダーのアクセスキーやシークレットキーといったメタデータを入手するのに役立つ。メタデータを入手した攻撃者は正規ユーザーに見えるため、クラウド内を簡単に動き回れる。
Palo Alto Networksは、クラウドのIAMポリシーを堅牢(けんろう)にし、不要なアクセス許可の削除に重点を置くことを勧める。このベストプラクティスには、
などがある。
CNAPP(Cloud Native Application Protection Platform)の導入も効果的だ。CNAPPとは、従来サイロ化していた
などの機能を組み合わせた統合プラットフォームだ。
Copyright © ITmedia, Inc. All Rights Reserved.
ファイアウォール管理不全が「抜け穴」に 今見直すべき海外拠点のセキュリティ (2025/8/26)
混雑や逆光に弱いウォークスルー顔認証、高精度と高速処理をどう実現するか (2025/8/13)
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...