クラウドのセキュリティを脅かす理由の一端が明らかになった。それはクラウドを利用する組織のIAMポリシーの欠如だ。緩いIAMポリシーに起因するリスクを分かりやすく解説する。
IDおよびアクセス管理(IAM)のポリシーを適切に管理していない組織が多過ぎるとPalo Alto Networksは言う。同社は、99%の組織のIAMポリシーは「あまりにも緩い」と指摘する。
200以上の組織における1万8000のクラウドアカウントで68万以上のIDを分析したPalo Alto Networksは、その結果を「衝撃的」と評した。同社のジョン・モレロ氏(Prisma Cloud担当部門のバイスプレジデント)は言う。「分散し、急速に進化し、動的に変化するというクラウドの性質を考えると、効果的で適切なIAMポリシーなしではセキュリティを確保できない」
こうした問題は、主としてユーザーアカウントの誤った管理から生じると同社は指摘する。44%の組織がIAMパスワードの再利用を許可し、53%のクラウドサービスが脆弱(ぜいじゃく)なパスワードの利用を許可している。
それだけではない。必要な範囲をはるかに超える操作を実行できる権限を与えていることも明らかになった。組織の99%が、全く使われていないか、長期間使われないロール、サービス、リソースに過剰なアクセスを許可した状態で放置しているという。
クラウドプロバイダーの組み込みIAMポリシーを誤って使っていることも多い。
過剰なアクセス許可と緩いポリシーが組み合わされば、攻撃者に金庫の鍵を渡したも同然だ。
コロナ禍によってクラウドの採用が大幅に増加した。現在のクラウド環境は攻撃者にとってこの上なく魅力的だ。
Palo Alto NetworksのUnit 42チームは、クラウドを狙う攻撃者とそれ以外の攻撃者を分けて定義すべきだと考えている。クラウドを狙う攻撃者はクラウド用にチューニングした戦術、手法、手口を展開し、IAMポリシーの誤った管理がほぼ普遍的な弱点であることを熟知している。
これまでは無防備なクラウドストレージインスタンスや構成ミスのあるインスタンスをスキャンするだけだった攻撃者が、ゼロデイや(「Log4Shell」などの)ゼロデイに近い攻撃を取り入れようとしている。ゼロデイ攻撃はクラウドプロバイダーのアクセスキーやシークレットキーといったメタデータを入手するのに役立つ。メタデータを入手した攻撃者は正規ユーザーに見えるため、クラウド内を簡単に動き回れる。
Palo Alto Networksは、クラウドのIAMポリシーを堅牢(けんろう)にし、不要なアクセス許可の削除に重点を置くことを勧める。このベストプラクティスには、
などがある。
CNAPP(Cloud Native Application Protection Platform)の導入も効果的だ。CNAPPとは、従来サイロ化していた
などの機能を組み合わせた統合プラットフォームだ。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
主戦場は「テレビ画面」へ YouTube20周年でCEOが公開書簡を公開
20周年を迎えるYouTubeが、クリエイターとユーザーの双方にとってより魅力的で革新的なプ...
都道府県別ライフスタイル調査 「推し活好き」「ラーメン好き」最多は?
明治安田総合研究所が公表した都道府県別「ライフスタイルに関するアンケート調査」の結...
Metaの広告はますますAI中心に 新たなツール「最適化スコア」とは?
Metaの2025年ビジネス注力領域とAIを活用したツールをはじめとした広告ソリューションの...