検索
特集/連載

Amazonが「Active Directory」を捨てた“衝撃の理由”“AD脱却”という異例の選択【前編】

「IDおよびアクセス管理」(IAM)として独自のシステムを開発するというAmazon.comの決断は、社内で批判を受けることもあったという。だが結果的に「効果は絶大だった」と責任者は語る。その理由とは。

Share
Tweet
LINE
Hatena

 組織の“セキュリティの要”になるのが、ユーザーの認証やアクセス制御を実施する「IDおよびアクセス管理」(IAM)だ。Amazon.comは、以前利用していたというMicrosoftの「Active Directory」をある理由から廃止した。「多額のコストがかかり、社内でも論議を呼んだ」というこの決断について、責任者は「効果は絶大だった」と話す。同社がActive Directoryを廃止した理由とは何か。

Amazonはなぜ「Active Directory廃止」に踏み切ったのか

 2024年6月に開かれたセキュリティカンファレンス「AWS re:Inforce」でクラウドサービスベンダーのAmazon Web Services(AWS)は、主な差別化要因としてセキュリティ重視の姿勢にスポットを当てた。AWSのセキュリティ文化は長年をかけて形成され、常に照準を定めて着実な投資を続けた結果だと幹部は繰り返し強調している。そうした投資の一つが、Amazon.com従業員用の認証システム「Midway」だった。これは社内で独自に開発したシステムだ。

 Active Directoryから独自開発のIAMシステムに移行することを決断した経緯について、Amazon.comのセキュリティエンジニアリング担当バイスプレジデント兼CISO(最高情報セキュリティ責任者)を務めるC・J・モーゼズ氏は「簡単な決断ではなかった」と振り返る。Active Directoryからの脱却を決めたのは、後述する通りでセキュリティ上のある懸念があったからだ。「多額のお金をかけて“異例のこと”をたくさんやったので、われわれは社内で憎まれた」とモーゼズ氏は言う。だが後になって、その決断は間違っていなかったと確信することができたという。「こだわりが強かったのは分かっているのが、それだけの理由があった」(同氏)

 Midwayへの投資が報われたのは2020年12月、IT監視ツールベンダーSolarWindsへのサプライチェーン攻撃が発覚した時だった。セキュリティベンダー旧FireEye(McAfee Enterpriseとの統合で2022年にTrellixとなる)の報告によると、国家が関与する集団がSolarWindsのネットワークに不正アクセスし、同社のIT監視ツール「Orion」のソフトウェア更新プログラムにバックドア(システムに不正に侵入するための入り口)を仕掛けていた。同集団(後にロシアの「APT29」と判明。別名「Cozy Bear」「idnight Blizzard」とも呼ばれる)は、このバックドアを利用して、複数の米政府機関を含む100組織以上の顧客に不正アクセスしていた。

 この当時、MicrosoftはSolarWindsへの攻撃に関するセキュリティアドバイザリー(セキュリティの警告や助言を提供する文書や通知)を公開し、攻撃者が不正な署名証明書を使って認証プロトコル「SAML」(Security Assertion Markup Language)のトークン(ユーザー認証に使われるデータ)を偽造し、管理者権限でクラウドサービス群「Microsoft Azure」の運用環境にアクセスした手口について解説した。

 これはセキュリティベンダーCyberArk Softwareの研究者が、2017年に発見した攻撃手法「Golden SAML」を悪用した攻撃だった。実際にこの手法が悪用されたことが確認されたのは、SolarWindsへの攻撃が初めてだった。Amazon.comはこの攻撃手法に関して懸念を持っており、それがシステムを移行する要因の一つになった。

 Golden SAMLの手口では、ネットワークへのアクセス特権をもつ攻撃者がSAMLトークンを偽造することで、SAML認証に対応した全てのアプリケーションやサービスを侵害できる。この手口を利用すれば、標的とする組織のさまざまなIDにでもなりすまして、権限を昇格することが可能になる。

 Microsoftの製品に限られる話ではないものの、Golden SAMLはActive Directoryにとって重大な脅威だった。セキュリティベンダーCrowdStrikeが2021年のセキュリティカンファレンス「RSA Conference」で指摘した通り、Microsoftのフェデレーション(アカウント認証の連携)機能「Active Directory Federation Services」(AD FS)では、ドメイン管理者アカウントが1つ破られれば、それを利用して他のシステムやサービスへの横移動が可能になることがある。

 「当社は業界標準として定着している認証および認可の仕組みを信用しなかった」とモーゼズ氏は語る。SolarWindsへの攻撃をはじめとした被害の報告がある中でも、AWSのクラウドサービスではセキュリティに起因する同様の事故は発生していない。Active Directoryからの移行を決めたAmazon.comの決断は結果的に正しかったことが証明されたと同氏は強調する。


 後編では、Amazon.comがGolden SAMLの手口に対して抱いていた懸念を深堀りして解説する。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る