IDおよびアクセス管理(IAM)システムの「Active Directory」をある理由から廃止したAmazon.com。その決断の裏には何があったのか。この変更がもたらした効果とは。
Amazon.comは、MicrosoftのIDおよびアクセス管理(IAM)システムの「Active Directory」を廃止した。同社にとって“ある重大な理由”から下したこの決断は、セキュリティ面での明白な効果をもたらしたという。セキュリティの要となるユーザーの認証やアクセス制御の仕組みを変えることにしたのはなぜだったのか。同社がこれによって得た効果とは。
セキュリティベンダーCyberArk Softwareの研究者は、2017年に「Golden SAML」という攻撃手法を発見した。この攻撃の手口は、Microsoftのフェデレーション(アカウント認証の連携)機能「Active Directory Federation Services」(AD FS)を脅かす重大な脅威になるとセキュリティ研究者は警告。「顧客のネットワークを守るために追加的な措置が必要だ」と指摘した。2020年12月に発生したIT監視ツールベンダーSolarWindsへのサプライチェーン攻撃では、攻撃手法としてGolden SAMLが使われた。
Microsoftの社内にも、CyberArkのこの研究に注目した人物がいた。報道機関Pro Publicaが2024年6月に公開した記事によると、Microsoftの社員だったアンドルー・ハリス氏は、Golden SAMLについて以前からMicrosoftに警告していたが、相手にされなかったという。「Golden SAMLはMicrosoft Security Response Center(Microsoftのセキュリティチーム)が顧客のために対処すべき重大なリスクだと自分は確信していたが、Microsoftはこの問題をソフトウェアの脆弱性ともセキュリティの限界とも認識せず、Golden SAMLに対して何の対策も講じない選択をした」。ハリス氏はそう話している。
ハリス氏はPro Publicaに対し、「Golden SAMLに対する自分の不安がSolarWinds攻撃で的中した」と語った。Microsoftはその後、この手口に対する対策を実装したが、同社が攻撃前に行動せず、AD FSに及ぼすGolden SAMLのリスクについて顧客に告知しなかったことをハリス氏は批判している。
Golden SAMLを巡るこの一件は、Amazon.comにとって重要な意味を持つことになった。「SolarWindsへの攻撃について、Active Directoryからの移行を決めたAmazon.comの決断が正しかったことを裏付ける重要な出来事だった」。モーゼズ氏はTechTarget編集部にそう語った。同氏は、
という2つの事実が、結果的に独自認証システムへの投資が大きな成功を収めたことにつながったのだと強調する。
Midwayを開発して自社のセキュリティインフラ管理を強化すると決めた理由の一つは、「Golden SAMLに関する懸念だった」とAmazon Web Services(AWS)の関係者は説明する。Amazon.comは独自のセキュリティ文化を長年かけて培ってきた。「そのセキュリティ文化が、Midwayへの移行を後押ししただけではなく、AWSが大きなセキュリティ事故に見舞われずに済む助けにもなっている」とモーゼズ氏は語る。
次々に新たなセキュリティ事故の報告がある中では、明日にも自社が同様の事態に巻き込まれる可能性がある。その場合には、事故の内容についてどこまで公表するかを慎重に検討しなければならず、経営上の重大な危機に陥る可能性がある。「セキュリティ文化を築く努力を続けてきたおかげで、他のサービス事業者がセキュリティ事故に見舞われる中でも、われわれは幸運なことにそうした問題を免れている」(モーゼズ氏)
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
Windows 10のサポート終了が迫り、Windows 11へのアップデートを考えている組織も多いことだろう。当然、アップデートには失敗したくないはずだ。ポイントを本動画で把握して、スムーズなOS移行を実現したい。
2025年10月14日をもってWindows 10のサポートが終了する。終了後は更新プログラムやセキュリティパッチの提供が停止されることから、セキュリティリスクの増大などが懸念されている。自社に最適な移行を進めるためにどうしたらよいのか。
ハイブリッドワークの定着により、従来のPC運用管理の限界が見えてきた。多様な働き方と、セキュリティ・効率・柔軟性を両立させるためには、クラウドを前提とした新しい管理の形となる「PC運用管理のモダナイズ」が求められている。
Microsoft SharePointは便利かつ柔軟性の高いツールであるがゆえに、「運用管理が複雑化する」「セキュリティ対応が難しい」といった課題も起きやすい。具体的にどのような課題が発生しやすく、どうすれば解決できるのか。
ブラウザは企業にとって重要なエンドポイントの1つだ。攻撃の表面として扱われているため、セキュリティの複雑性も増し、脅威への対応を高度化する必要が生じる。そこで本資料では、企業向けブラウザの強みについて解説する。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
