Amazonが「脱Active Directory」にこだわった決定的な理由“AD脱却”という異例の選択【後編】

IDおよびアクセス管理(IAM)システムの「Active Directory」をある理由から廃止したAmazon.com。その決断の裏には何があったのか。この変更がもたらした効果とは。

2024年08月30日 07時00分 公開
[Rob WrightTechTarget]

 Amazon.comは、MicrosoftのIDおよびアクセス管理(IAM)システムの「Active Directory」を廃止した。同社にとって“ある重大な理由”から下したこの決断は、セキュリティ面での明白な効果をもたらしたという。セキュリティの要となるユーザーの認証やアクセス制御の仕組みを変えることにしたのはなぜだったのか。同社がこれによって得た効果とは。

Amazonはなぜ「脱Active Directory」にこだわったのか

 セキュリティベンダーCyberArk Softwareの研究者は、2017年に「Golden SAML」という攻撃手法を発見した。この攻撃の手口は、Microsoftのフェデレーション(アカウント認証の連携)機能「Active Directory Federation Services」(AD FS)を脅かす重大な脅威になるとセキュリティ研究者は警告。「顧客のネットワークを守るために追加的な措置が必要だ」と指摘した。2020年12月に発生したIT監視ツールベンダーSolarWindsへのサプライチェーン攻撃では、攻撃手法としてGolden SAMLが使われた。

 Microsoftの社内にも、CyberArkのこの研究に注目した人物がいた。報道機関Pro Publicaが2024年6月に公開した記事によると、Microsoftの社員だったアンドルー・ハリス氏は、Golden SAMLについて以前からMicrosoftに警告していたが、相手にされなかったという。「Golden SAMLはMicrosoft Security Response Center(Microsoftのセキュリティチーム)が顧客のために対処すべき重大なリスクだと自分は確信していたが、Microsoftはこの問題をソフトウェアの脆弱性ともセキュリティの限界とも認識せず、Golden SAMLに対して何の対策も講じない選択をした」。ハリス氏はそう話している。

 ハリス氏はPro Publicaに対し、「Golden SAMLに対する自分の不安がSolarWinds攻撃で的中した」と語った。Microsoftはその後、この手口に対する対策を実装したが、同社が攻撃前に行動せず、AD FSに及ぼすGolden SAMLのリスクについて顧客に告知しなかったことをハリス氏は批判している。

 Golden SAMLを巡るこの一件は、Amazon.comにとって重要な意味を持つことになった。「SolarWindsへの攻撃について、Active Directoryからの移行を決めたAmazon.comの決断が正しかったことを裏付ける重要な出来事だった」。モーゼズ氏はTechTarget編集部にそう語った。同氏は、

  • 独自認証システムのMidwayへの移行という先手を打ったこと
  • 業界標準として定着しているソフトウェアを信用しなかったこと

という2つの事実が、結果的に独自認証システムへの投資が大きな成功を収めたことにつながったのだと強調する。

 Midwayを開発して自社のセキュリティインフラ管理を強化すると決めた理由の一つは、「Golden SAMLに関する懸念だった」とAmazon Web Services(AWS)の関係者は説明する。Amazon.comは独自のセキュリティ文化を長年かけて培ってきた。「そのセキュリティ文化が、Midwayへの移行を後押ししただけではなく、AWSが大きなセキュリティ事故に見舞われずに済む助けにもなっている」とモーゼズ氏は語る。

 次々に新たなセキュリティ事故の報告がある中では、明日にも自社が同様の事態に巻き込まれる可能性がある。その場合には、事故の内容についてどこまで公表するかを慎重に検討しなければならず、経営上の重大な危機に陥る可能性がある。「セキュリティ文化を築く努力を続けてきたおかげで、他のサービス事業者がセキュリティ事故に見舞われる中でも、われわれは幸運なことにそうした問題を免れている」(モーゼズ氏)

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news103.jpg

なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...

news160.jpg

業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...

news210.png

SEOを強化するサイトの9割超が表示速度を重視 で、対策にいくら投資している?
Reproが「Webサイトの表示速度改善についての実態調査 2024」レポートを公開。表示速度改...