Datadog Japanは11月25日、オンラインでメディア説明会を開き、レポート「2024年クラウドセキュリティの現状」」を発表した。説明会では、同社 シニアテクニカルエバンジェリストの萩野たいじ氏が解説した。

  • Datadog Japan シニアテクニカルエバンジェリストの萩野たいじ氏

    Datadog Japan シニアテクニカルエバンジェリストの萩野たいじ氏

調査は、今年9月に収集されたデータにもとづいており、DatadogがAWS(Amazon Web Services)、Microsoft Azure、Google Cloudを使用している数千の組織のサンプルからセキュリティ対策データを分析。今回の調査では、すべてのクラウドプロバイダーにおいて、認証情報を長期にわたって変更しないことが依然として組織にとってリスクとなっていることが分かったという。萩野氏は7つの項目について説明した。

46%の組織が管理されていない有効期限の長い認証情報を使用

1つ目は認証情報を長期にわたって変更しないことにより、ソースコード、コンテナイメージ、ビルドログ、アプリケーションアーティファクトから情報が漏洩するケースが頻繁に発生しており、セキュリティ上のリスクとなっている。過去の調査によると、クラウドセキュリティ侵害の最も一般的な原因がこれらのケースであることが判明している。

こうしたリスクは十分に報告されているが、Datadogのレポートによると、半数近くの組織(46%)が依然として管理されていない有効期限の長い認証情報を使用していることが明らかになったという。

長期間変更されていない認証情報は、すべての主要なクラウドで蔓延しているだけでなく、古いものや現在使用されていないものも数多く存在している。Google Cloudサービスアカウントの62%、AWS IAMユーザーの60%、Microsoft Entra IDアプリケーションの46%が、1年以上前のアクセスキーを使用している。

  • 各パブリッククラウドにおける認証情報の有効期限別のユーザーの割合

    各パブリッククラウドにおける認証情報の有効期限別のユーザーの割合

萩野氏は「長期間有効なクラウド認証情報は期限が切れることなく、ソースコードやコンテナイメージ、ビルドログ、アプリケーションなどにおいて漏えいのセキュリティリスクをもたらす。集中化されたID管理を使用する組織は増加しているものの、長期間有効な認証情報を持つユーザーを管理していない組織が依然として存在している」と述べた。

2つ目はクラウド環境のガードレールの採用が増加し、パブリックアクセス機能によりカバーされているAmazon S3バケットの割合が79%となっている。これは、クラウドプロバイダーがガードレールをデフォルトで有効にし始めたことを示しており、1年前の73%から増加傾向にある。

増加するIMD Sv2の適用

3つ目はEC2インスタンスにおけるクレデンシャルの盗難を防ぐための、重要なAWSのセキュリティメカニズムであるIMD Sv2を必須にしている組織の割合は、昨年の25%から47%に増加した。

増加の要因として萩野氏は「企業が問題意識を持つようになったほか、人気のあるAmazon Linux 2023 DistributionにおいてAMI(Amazon Machine Image)単体でIMD Sv2をデフォルトで強制するメカニズムを有効にした。さらに、今年3月にAWSが新しいリージョン全体の設定をリリースし、ユーザーが特定のリージョンで将来作成されるすべてのインスタンスに対して、デフォルトでIMD Sv2を強制することができるようになったからだ」と説明した。

  • IMD Sv2を必須にしている組織の割合は増加している

    IMD Sv2を必須にしている組織の割合は増加している

4つ目は「Amazon EKS」や「Google Cloud GKE」「Azure AKS」といったマネージド型のKubernetesクラスタでデフォルト設定を使用している場合、セキュリティ不十分となり、攻撃を受けるリスクが増大するという。APIをインターネットに公開している割合はAmazon EKSで48%、Google Cloud GKEが66%、Azure AKSが41%となっている。

  • 各パブリッククラウドにおけるマネージド型のKubernetesクラスタがAPIをインターネットに公開している割合

    各パブリッククラウドにおけるマネージド型のKubernetesクラスタがAPIをインターネットに公開している割合

萩野氏は「マネージド型のKubernetesは複雑さを軽減するには素晴らしいが、セキュリティが強制されていない場合もあることから、そのようなクラウドリソースでは最適なセキュリティが得られない」と述べている。

サードパーティインテグレーションに潜む危険性

5つ目はサードパーティ統合のための安全ではないIAMロールは、AWSアカウントの暴露のリスクがあるというもの。パブリッククラウドの利用拡大に伴い、クラウドインフラの監視やログの収集など、顧客のAWSアカウントと統合するベンダーが増えているという。

そのため、サードパーティインテグレーションの10%は、リスクの高いアクセス権限が設定されており、ベンダーがアカウント内のすべてのデータにアクセスしたり、AWSアカウント全体を乗っ取ったりすることが可能な状態になっている。

また、サードパーティインテグレーションの2%は、外部IDの使用を必須にしておらず、攻撃者が「混乱した代理(Confused deputy problem)」問題を通じて不正にアクセスすることが可能な状態になっていた。

  • サードパーティインテグレーションのIAMロールは攻撃の標的になるという

    サードパーティインテグレーションのIAMロールは攻撃の標的になるという

6つ目はクラウドインシデントの大半がクラウド認証情報の漏えいで引き起こされる。攻撃者は人間(パスワード)とアプリケーションの両方からアイデンティティを侵害し、引き起れされるという。

AWSでは流出したアクセスキーが一般的かつ効率的なアクセスベクトルとなり、攻撃者は認証スキャナーを頻繁に活用してソースコードリポジトリやバージョン管理システムの履歴から認証情報を特定している。一度、最初の足がかりを得ると攻撃者の行動は一貫したパターンに従うことが判明しているのこと。

7つ目はAWS EC2インスタンスの18%以上、Google Cloud VM(仮想マシン)インスタンスの33%が、プロジェクトに対して機密性の高い権限を持っているという。ワークロードを攻撃する攻撃者が関連する認証情報を盗み、クラウド環境にアクセスする恐れがあるため、組織はリスクを抱え続けることになると指摘している。

  • 機密性の高い権限が使用されているEC2インスタンスの割合

    機密性の高い権限が使用されているEC2インスタンスの割合

企業はどのように対策するべきか

以上の洞察を踏まえ、同社では2023年から継続的に改善が図られていることが示されてるものの、いくつかの重要な分野ではまだ取り組むべき課題があるという。

具体的には、長期間にわたって管理されていない認証情報の使用を避けること、コンピューティングおよびストレージインスタンスで最新のセキュアな設定を使用すること、特にサードパーティのSaaS(Software as a Service)統合に関連する役割が過剰な特権を持たないようにすることなどを挙げている。

また、攻撃者はクラウドネイティブ化が進む環境に適応する技術を継続的に採用しており、さまざまなクラウドプラットフォームを標的とした新たな脅威が絶えず発生している。こうしたことから、クラウド環境における主なリスク要因と攻撃者の行動パターンを理解することは重要とのことだ。

さらに、長期間有効な認証情報が主なリスク要因であることに加え、大半のクラウドセキュリティインシデントは侵害された認証情報によって引き起こされているため、企業は自社を保護するために、最新の認証メカニズムでアイデンティティを保護し、有効期限の短い認証情報を活用し、攻撃者が一般的に使用するAPIの変更を積極的に監視する必要との見立てだ。