IDおよびアクセス管理(IAM)システムの「Active Directory」をある理由から廃止したAmazon.com。その決断の裏には何があったのか。この変更がもたらした効果とは。
Amazon.comは、MicrosoftのIDおよびアクセス管理(IAM)システムの「Active Directory」を廃止した。同社にとって“ある重大な理由”から下したこの決断は、セキュリティ面での明白な効果をもたらしたという。セキュリティの要となるユーザーの認証やアクセス制御の仕組みを変えることにしたのはなぜだったのか。同社がこれによって得た効果とは。
セキュリティベンダーCyberArk Softwareの研究者は、2017年に「Golden SAML」という攻撃手法を発見した。この攻撃の手口は、Microsoftのフェデレーション(アカウント認証の連携)機能「Active Directory Federation Services」(AD FS)を脅かす重大な脅威になるとセキュリティ研究者は警告。「顧客のネットワークを守るために追加的な措置が必要だ」と指摘した。2020年12月に発生したIT監視ツールベンダーSolarWindsへのサプライチェーン攻撃では、攻撃手法としてGolden SAMLが使われた。
Microsoftの社内にも、CyberArkのこの研究に注目した人物がいた。報道機関Pro Publicaが2024年6月に公開した記事によると、Microsoftの社員だったアンドルー・ハリス氏は、Golden SAMLについて以前からMicrosoftに警告していたが、相手にされなかったという。「Golden SAMLはMicrosoft Security Response Center(Microsoftのセキュリティチーム)が顧客のために対処すべき重大なリスクだと自分は確信していたが、Microsoftはこの問題をソフトウェアの脆弱性ともセキュリティの限界とも認識せず、Golden SAMLに対して何の対策も講じない選択をした」。ハリス氏はそう話している。
ハリス氏はPro Publicaに対し、「Golden SAMLに対する自分の不安がSolarWinds攻撃で的中した」と語った。Microsoftはその後、この手口に対する対策を実装したが、同社が攻撃前に行動せず、AD FSに及ぼすGolden SAMLのリスクについて顧客に告知しなかったことをハリス氏は批判している。
Golden SAMLを巡るこの一件は、Amazon.comにとって重要な意味を持つことになった。「SolarWindsへの攻撃について、Active Directoryからの移行を決めたAmazon.comの決断が正しかったことを裏付ける重要な出来事だった」。モーゼズ氏はTechTarget編集部にそう語った。同氏は、
という2つの事実が、結果的に独自認証システムへの投資が大きな成功を収めたことにつながったのだと強調する。
Midwayを開発して自社のセキュリティインフラ管理を強化すると決めた理由の一つは、「Golden SAMLに関する懸念だった」とAmazon Web Services(AWS)の関係者は説明する。Amazon.comは独自のセキュリティ文化を長年かけて培ってきた。「そのセキュリティ文化が、Midwayへの移行を後押ししただけではなく、AWSが大きなセキュリティ事故に見舞われずに済む助けにもなっている」とモーゼズ氏は語る。
次々に新たなセキュリティ事故の報告がある中では、明日にも自社が同様の事態に巻き込まれる可能性がある。その場合には、事故の内容についてどこまで公表するかを慎重に検討しなければならず、経営上の重大な危機に陥る可能性がある。「セキュリティ文化を築く努力を続けてきたおかげで、他のサービス事業者がセキュリティ事故に見舞われる中でも、われわれは幸運なことにそうした問題を免れている」(モーゼズ氏)
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
YouTube広告の実店舗売り上げへの貢献を計測 インテージが「Sales Impact Scope」を提供開始
インテージがYouTube出稿による小売店販売への広告効果を計測するサービスを提供開始した...
2025年のデジタル広告業界の展望 日本のマーケターの優先メディアと課題は?
IASは、2025年におけるデジタル広告業界の主要なトレンドについて掘り下げたレポート「Th...
「ECプラットフォーム」売れ筋TOP10(2025年1月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。