緩いIAMポリシーがクラウドを危険にする当然の理由：IAMポリシーの適切な管理方法とは？

クラウドのセキュリティを脅かす理由の一端が明らかになった。それはクラウドを利用する組織のIAMポリシーの欠如だ。緩いIAMポリシーに起因するリスクを分かりやすく解説する。

[Alex Scroxton，Computer Weekly]

　IDおよびアクセス管理（IAM）のポリシーを適切に管理していない組織が多過ぎるとPalo Alto Networksは言う。同社は、99％の組織のIAMポリシーは「あまりにも緩い」と指摘する。

　200以上の組織における1万8000のクラウドアカウントで68万以上のIDを分析したPalo Alto Networksは、その結果を「衝撃的」と評した。同社のジョン・モレロ氏（Prisma Cloud担当部門のバイスプレジデント）は言う。「分散し、急速に進化し、動的に変化するというクラウドの性質を考えると、効果的で適切なIAMポリシーなしではセキュリティを確保できない」

クラウドを危険にさらす問題の本質

iStock.com/maxkabakov

　こうした問題は、主としてユーザーアカウントの誤った管理から生じると同社は指摘する。44％の組織がIAMパスワードの再利用を許可し、53％のクラウドサービスが脆弱（ぜいじゃく）なパスワードの利用を許可している。

　それだけではない。必要な範囲をはるかに超える操作を実行できる権限を与えていることも明らかになった。組織の99％が、全く使われていないか、長期間使われないロール、サービス、リソースに過剰なアクセスを許可した状態で放置しているという。

　クラウドプロバイダーの組み込みIAMポリシーを誤って使っていることも多い。

　過剰なアクセス許可と緩いポリシーが組み合わされば、攻撃者に金庫の鍵を渡したも同然だ。

　コロナ禍によってクラウドの採用が大幅に増加した。現在のクラウド環境は攻撃者にとってこの上なく魅力的だ。

　Palo Alto NetworksのUnit 42チームは、クラウドを狙う攻撃者とそれ以外の攻撃者を分けて定義すべきだと考えている。クラウドを狙う攻撃者はクラウド用にチューニングした戦術、手法、手口を展開し、IAMポリシーの誤った管理がほぼ普遍的な弱点であることを熟知している。

　これまでは無防備なクラウドストレージインスタンスや構成ミスのあるインスタンスをスキャンするだけだった攻撃者が、ゼロデイや（「Log4Shell」などの）ゼロデイに近い攻撃を取り入れようとしている。ゼロデイ攻撃はクラウドプロバイダーのアクセスキーやシークレットキーといったメタデータを入手するのに役立つ。メタデータを入手した攻撃者は正規ユーザーに見えるため、クラウド内を簡単に動き回れる。

　Palo Alto Networksは、クラウドのIAMポリシーを堅牢（けんろう）にし、不要なアクセス許可の削除に重点を置くことを勧める。このベストプラクティスには、

• 管理者ログインの使用や資格情報の長期使用を最小限に抑えること
• 多要素認証を強制すること
• 国立サイバーセキュリティセンターや米国国立標準技術研究所などの公式ガイダンスに沿った強力なパスワードポリシーを構成すること
• フェデレーションID管理を使ってアクセス制御を管理すること
• 最小権限の原則から始めて、クラウドワークロードに応じて権限を自動監査すること
• ユーザーのアクセス許可を定期監査すること
• IAMの動作を監視してブルートフォース攻撃の可能性や認識していない場所からのログインを特定すること

などがある。

　CNAPP（Cloud Native Application Protection Platform）の導入も効果的だ。CNAPPとは、従来サイロ化していた

• 開発成果物のスキャン
• CSPM（Cloud Security Posture Management）
• IaC（Infrastructure as Code）スキャン
• 権限管理
• ランタイムクラウドワークロード保護

などの機能を組み合わせた統合プラットフォームだ。