特集/連載
「クラウドIAMの設定ミス」の危険性と、設定ミスを防ぐ3つの方法:クラウドの4大設定ミスとその防止方法【前編】
クラウドサービスの単純な設定ミスが、情報漏えいにつながる恐れがある。クラウドサービスのID・アクセス管理(IAM)における設定ミスの危険性と、適切なIAMポリシーを設定する方法を説明する。
企業がクラウドサービスの設定ミスを放置すると、システムが悪質なサイバー攻撃にさらされる場合がある。本連載は、起こりがちなクラウドサービスの設定ミス4つと、それらの解決策を紹介する。
1.IAMポリシーの設定ミス
併せて読みたいお薦め記事
クラウドインフラのIAM管理
- セキュアリモートアクセスの根幹技術「IAM」の要チェック機能とは?
- 「Amazon S3」の“うっかり”設定ミスを防ぐ「IAM Access Analyzer」とは
- AWS IAM、Amazon Cognito、AWS Directory Serviceとは? AWSの主要クラウドIAM
クラウドサービスの数ある設定ミスの中でも、特に起こりがちなミスの一つが、IT管理者がID・アクセス管理(IAM)ポリシーを設定する際に、エンドユーザーに必要以上に多くの権限を与えてしまうことだ。クラウドサービスの権限は通常、
- クラウドエンジニアやDevOps(開発と運用の融合)プロフェッショナルといった人間のID
- 複数のクラウドサービスの連携やコマンドの実行を自動化するツールといった非人間のID
で構成される。人間か非人間かを問わず、IT管理者が各IDに過度に広い権限を与えると、1つのIDから必要以上に多くの資産(データやシステムリソースなど)に自由にアクセスできる状況を招く。
一つ一つのIDに適切な権限を付与するには、IT管理者は以下の対策を徹底する必要がある。
- できるだけ各クラウドサービスのIDとアクセス権限を一元管理する。特にIDのグループ作成やライフサイクル管理の方法を慎重に決定する。クラウドIAMチームをつくり、ID管理とクラウドセキュリティ対策に専念させる方法もある。
- 特権IDで多要素認証を有効にする。
- 各IDの役割とポリシーについて、Amazon Web Services(AWS)の「AWS IAM Access Analyzer」といったクラウドベンダーが提供するサービスを使って定期的な検証を実施する。サードパーティー製品の中には、継続的にIDを検査して、過剰な権限があれば警告を出す製品もある。
中編は、ストレージのクラウドサービス(以下、クラウドストレージ)と、クラウドサービスの内部ネットワーク(以下、クラウドネットワーク)の設定で起こりがちなミスと、それを防ぐ方法を説明する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.