IDおよびアクセス管理(IAM)システムの「Active Directory」をある理由から廃止したAmazon.com。その決断の裏には何があったのか。この変更がもたらした効果とは。
Amazon.comは、MicrosoftのIDおよびアクセス管理(IAM)システムの「Active Directory」を廃止した。同社にとって“ある重大な理由”から下したこの決断は、セキュリティ面での明白な効果をもたらしたという。セキュリティの要となるユーザーの認証やアクセス制御の仕組みを変えることにしたのはなぜだったのか。同社がこれによって得た効果とは。
セキュリティベンダーCyberArk Softwareの研究者は、2017年に「Golden SAML」という攻撃手法を発見した。この攻撃の手口は、Microsoftのフェデレーション(アカウント認証の連携)機能「Active Directory Federation Services」(AD FS)を脅かす重大な脅威になるとセキュリティ研究者は警告。「顧客のネットワークを守るために追加的な措置が必要だ」と指摘した。2020年12月に発生したIT監視ツールベンダーSolarWindsへのサプライチェーン攻撃では、攻撃手法としてGolden SAMLが使われた。
Microsoftの社内にも、CyberArkのこの研究に注目した人物がいた。報道機関Pro Publicaが2024年6月に公開した記事によると、Microsoftの社員だったアンドルー・ハリス氏は、Golden SAMLについて以前からMicrosoftに警告していたが、相手にされなかったという。「Golden SAMLはMicrosoft Security Response Center(Microsoftのセキュリティチーム)が顧客のために対処すべき重大なリスクだと自分は確信していたが、Microsoftはこの問題をソフトウェアの脆弱性ともセキュリティの限界とも認識せず、Golden SAMLに対して何の対策も講じない選択をした」。ハリス氏はそう話している。
ハリス氏はPro Publicaに対し、「Golden SAMLに対する自分の不安がSolarWinds攻撃で的中した」と語った。Microsoftはその後、この手口に対する対策を実装したが、同社が攻撃前に行動せず、AD FSに及ぼすGolden SAMLのリスクについて顧客に告知しなかったことをハリス氏は批判している。
Golden SAMLを巡るこの一件は、Amazon.comにとって重要な意味を持つことになった。「SolarWindsへの攻撃について、Active Directoryからの移行を決めたAmazon.comの決断が正しかったことを裏付ける重要な出来事だった」。モーゼズ氏はTechTarget編集部にそう語った。同氏は、
という2つの事実が、結果的に独自認証システムへの投資が大きな成功を収めたことにつながったのだと強調する。
Midwayを開発して自社のセキュリティインフラ管理を強化すると決めた理由の一つは、「Golden SAMLに関する懸念だった」とAmazon Web Services(AWS)の関係者は説明する。Amazon.comは独自のセキュリティ文化を長年かけて培ってきた。「そのセキュリティ文化が、Midwayへの移行を後押ししただけではなく、AWSが大きなセキュリティ事故に見舞われずに済む助けにもなっている」とモーゼズ氏は語る。
次々に新たなセキュリティ事故の報告がある中では、明日にも自社が同様の事態に巻き込まれる可能性がある。その場合には、事故の内容についてどこまで公表するかを慎重に検討しなければならず、経営上の重大な危機に陥る可能性がある。「セキュリティ文化を築く努力を続けてきたおかげで、他のサービス事業者がセキュリティ事故に見舞われる中でも、われわれは幸運なことにそうした問題を免れている」(モーゼズ氏)
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
「マツキヨココカラ公式アプリ」が「Temu」超えの初登場1位 2024年のEコマースアプリトレンド
AdjustとSensor Towerが共同で発表した「モバイルアプリトレンドレポート 2024 :日本版...
「RevOps」に関する実態調査 収益向上への実感やCROの設置率は?
ウイングアーク1stが実施した「RevOpsに関する実態調査」の結果です。
ピザ配達員とカーチェイス ペプシの大胆キャンペーンの狙いは?
PepsiはフードデリバリーサービスDoorDashとのパートナーシップ強化に伴い、アクション映...
ITmediaはアイティメディア株式会社の登録商標です。
