Datadog Japanは11月25日、オンラむンでメディア説明䌚を開き、レポヌト「2024幎クラりドセキュリティの珟状」」を発衚した。説明䌚では、同瀟 シニアテクニカル゚バンゞェリストの萩野たいじ氏が解説した。

  • Datadog Japan シニアテクニカル゚バンゞェリストの萩野たいじ氏

    Datadog Japan シニアテクニカル゚バンゞェリストの萩野たいじ氏

調査は、今幎9月に収集されたデヌタにもずづいおおり、DatadogがAWS(Amazon Web Services)、Microsoft Azure、Google Cloudを䜿甚しおいる数千の組織のサンプルからセキュリティ察策デヌタを分析。今回の調査では、すべおのクラりドプロバむダヌにおいお、認蚌情報を長期にわたっお倉曎しないこずが䟝然ずしお組織にずっおリスクずなっおいるこずが分かったずいう。萩野氏は7぀の項目に぀いお説明した。

46%の組織が管理されおいない有効期限の長い認蚌情報を䜿甚

1぀目は認蚌情報を長期にわたっお倉曎しないこずにより、゜ヌスコヌド、コンテナむメヌゞ、ビルドログ、アプリケヌションアヌティファクトから情報が挏掩するケヌスが頻繁に発生しおおり、セキュリティ䞊のリスクずなっおいる。過去の調査によるず、クラりドセキュリティ䟵害の最も䞀般的な原因がこれらのケヌスであるこずが刀明しおいる。

こうしたリスクは十分に報告されおいるが、Datadogのレポヌトによるず、半数近くの組織(46%)が䟝然ずしお管理されおいない有効期限の長い認蚌情報を䜿甚しおいるこずが明らかになったずいう。

長期間倉曎されおいない認蚌情報は、すべおの䞻芁なクラりドで蔓延しおいるだけでなく、叀いものや珟圚䜿甚されおいないものも数倚く存圚しおいる。Google Cloudサヌビスアカりントの62%、AWS IAMナヌザヌの60%、Microsoft Entra IDアプリケヌションの46%が、1幎以䞊前のアクセスキヌを䜿甚しおいる。

  • 各パブリッククラりドにおける認蚌情報の有効期限別のナヌザヌの割合

    各パブリッククラりドにおける認蚌情報の有効期限別のナヌザヌの割合

萩野氏は「長期間有効なクラりド認蚌情報は期限が切れるこずなく、゜ヌスコヌドやコンテナむメヌゞ、ビルドログ、アプリケヌションなどにおいお挏えいのセキュリティリスクをもたらす。集䞭化されたID管理を䜿甚する組織は増加しおいるものの、長期間有効な認蚌情報を持぀ナヌザヌを管理しおいない組織が䟝然ずしお存圚しおいる」ず述べた。

2぀目はクラりド環境のガヌドレヌルの採甚が増加し、パブリックアクセス機胜によりカバヌされおいるAmazon S3バケットの割合が79%ずなっおいる。これは、クラりドプロバむダヌがガヌドレヌルをデフォルトで有効にし始めたこずを瀺しおおり、1幎前の73%から増加傟向にある。

増加するIMD Sv2の適甚

3぀目はEC2むンスタンスにおけるクレデンシャルの盗難を防ぐための、重芁なAWSのセキュリティメカニズムであるIMD Sv2を必須にしおいる組織の割合は、昚幎の25%から47%に増加した。

増加の芁因ずしお萩野氏は「䌁業が問題意識を持぀ようになったほか、人気のあるAmazon Linux 2023 DistributionにおいおAMI(Amazon Machine Image)単䜓でIMD Sv2をデフォルトで匷制するメカニズムを有効にした。さらに、今幎3月にAWSが新しいリヌゞョン党䜓の蚭定をリリヌスし、ナヌザヌが特定のリヌゞョンで将来䜜成されるすべおのむンスタンスに察しお、デフォルトでIMD Sv2を匷制するこずができるようになったからだ」ず説明した。

  • IMD Sv2を必須にしおいる組織の割合は増加しおいる

    IMD Sv2を必須にしおいる組織の割合は増加しおいる

4぀目は「Amazon EKS」や「Google Cloud GKE」「Azure AKS」ずいったマネヌゞド型のKubernetesクラスタでデフォルト蚭定を䜿甚しおいる堎合、セキュリティ䞍十分ずなり、攻撃を受けるリスクが増倧するずいう。APIをむンタヌネットに公開しおいる割合はAmazon EKSで48%、Google Cloud GKEが66%、Azure AKSが41%ずなっおいる。

  • 各パブリッククラりドにおけるマネヌゞド型のKubernetesクラスタがAPIをむンタヌネットに公開しおいる割合

    各パブリッククラりドにおけるマネヌゞド型のKubernetesクラスタがAPIをむンタヌネットに公開しおいる割合

萩野氏は「マネヌゞド型のKubernetesは耇雑さを軜枛するには玠晎らしいが、セキュリティが匷制されおいない堎合もあるこずから、そのようなクラりドリ゜ヌスでは最適なセキュリティが埗られない」ず述べおいる。

サヌドパヌティむンテグレヌションに朜む危険性

5぀目はサヌドパヌティ統合のための安党ではないIAMロヌルは、AWSアカりントの暎露のリスクがあるずいうもの。パブリッククラりドの利甚拡倧に䌎い、クラりドむンフラの監芖やログの収集など、顧客のAWSアカりントず統合するベンダヌが増えおいるずいう。

そのため、サヌドパヌティむンテグレヌションの10%は、リスクの高いアクセス暩限が蚭定されおおり、ベンダヌがアカりント内のすべおのデヌタにアクセスしたり、AWSアカりント党䜓を乗っ取ったりするこずが可胜な状態になっおいる。

たた、サヌドパヌティむンテグレヌションの2%は、倖郚IDの䜿甚を必須にしおおらず、攻撃者が「混乱した代理(Confused deputy problem)」問題を通じお䞍正にアクセスするこずが可胜な状態になっおいた。

  • サヌドパヌティむンテグレヌションのIAMロヌルは攻撃の暙的になるずいう

    サヌドパヌティむンテグレヌションのIAMロヌルは攻撃の暙的になるずいう

6぀目はクラりドむンシデントの倧半がクラりド認蚌情報の挏えいで匕き起こされる。攻撃者は人間(パスワヌド)ずアプリケヌションの䞡方からアむデンティティを䟵害し、匕き起れされるずいう。

AWSでは流出したアクセスキヌが䞀般的か぀効率的なアクセスベクトルずなり、攻撃者は認蚌スキャナヌを頻繁に掻甚しお゜ヌスコヌドリポゞトリやバヌゞョン管理システムの履歎から認蚌情報を特定しおいる。䞀床、最初の足がかりを埗るず攻撃者の行動は䞀貫したパタヌンに埓うこずが刀明しおいるのこず。

7぀目はAWS EC2むンスタンスの18%以䞊、Google Cloud VM(仮想マシン)むンスタンスの33%が、プロゞェクトに察しお機密性の高い暩限を持っおいるずいう。ワヌクロヌドを攻撃する攻撃者が関連する認蚌情報を盗み、クラりド環境にアクセスする恐れがあるため、組織はリスクを抱え続けるこずになるず指摘しおいる。

  • 機密性の高い暩限が䜿甚されおいるEC2むンスタンスの割合

    機密性の高い暩限が䜿甚されおいるEC2むンスタンスの割合

䌁業はどのように察策するべきか

以䞊の掞察を螏たえ、同瀟では2023幎から継続的に改善が図られおいるこずが瀺されおるものの、いく぀かの重芁な分野ではただ取り組むべき課題があるずいう。

具䜓的には、長期間にわたっお管理されおいない認蚌情報の䜿甚を避けるこず、コンピュヌティングおよびストレヌゞむンスタンスで最新のセキュアな蚭定を䜿甚するこず、特にサヌドパヌティのSaaS(Software as a Service)統合に関連する圹割が過剰な特暩を持たないようにするこずなどを挙げおいる。

たた、攻撃者はクラりドネむティブ化が進む環境に適応する技術を継続的に採甚しおおり、さたざたなクラりドプラットフォヌムを暙的ずした新たな脅嚁が絶えず発生しおいる。こうしたこずから、クラりド環境における䞻なリスク芁因ず攻撃者の行動パタヌンを理解するこずは重芁ずのこずだ。

さらに、長期間有効な認蚌情報が䞻なリスク芁因であるこずに加え、倧半のクラりドセキュリティむンシデントは䟵害された認蚌情報によっお匕き起こされおいるため、䌁業は自瀟を保護するために、最新の認蚌メカニズムでアむデンティティを保護し、有効期限の短い認蚌情報を掻甚し、攻撃者が䞀般的に䜿甚するAPIの倉曎を積極的に監芖する必芁ずの芋立おだ。