IDおよびアクセス管理(IAM)のポリシーを適切に管理していない組織が多過ぎるとPalo Alto Networksは言う。同社は、99%の組織のIAMポリシーは「あまりにも緩い」と指摘する。
200以上の組織における1万8000のクラウドアカウントで68万以上のIDを分析したPalo Alto Networksは、その結果を「衝撃的」と評した。同社のジョン・モレロ氏(Prisma Cloud担当部門のバイスプレジデント)は言う。「分散し、急速に進化し、動的に変化するというクラウドの性質を考えると、効果的で適切なIAMポリシーなしではセキュリティを確保できない」
クラウドを危険にさらす問題の本質
こうした問題は、主としてユーザーアカウントの誤った管理から生じると同社は指摘する。44%の組織がIAMパスワードの再利用を許可し、53%のクラウドサービスが脆弱(ぜいじゃく)なパスワードの利用を許可している。
それだけではない。必要な範囲をはるかに超える操作を実行できる権限を与えていることも明らかになった。組織の99%が、全く使われていないか、長期間使われないロール、サービス、リソースに過剰なアクセスを許可した状態で放置しているという。
クラウドプロバイダーの組み込みIAMポリシーを誤って使っていることも多い。
過剰なアクセス許可と緩いポリシーが組み合わされば、攻撃者に金庫の鍵を渡したも同然だ。
コロナ禍によってクラウドの採用が大幅に増加した。現在のクラウド環境は攻撃者にとってこの上なく魅力的だ。
Palo Alto NetworksのUnit 42チームは、クラウドを狙う攻撃者とそれ以外の攻撃者を分けて定義すべきだと考えている。クラウドを狙う攻撃者はクラウド用にチューニングした戦術、手法、手口を展開し、IAMポリシーの誤った管理がほぼ普遍的な弱点であることを熟知している。
これまでは無防備なクラウドストレージインスタンスや構成ミスのあるインスタンスをスキャンするだけだった攻撃者が、ゼロデイや(「Log4Shell」などの)ゼロデイに近い攻撃を取り入れようとしている。ゼロデイ攻撃はクラウドプロバイダーのアクセスキーやシークレットキーといったメタデータを入手するのに役立つ。メタデータを入手した攻撃者は正規ユーザーに見えるため、クラウド内を簡単に動き回れる。
Palo Alto Networksは、クラウドのIAMポリシーを堅牢(けんろう)にし、不要なアクセス許可の削除に重点を置くことを勧める。このベストプラクティスには、
Subscribe to get access
Read more of this content when you subscribe today.
などがある。
CNAPP(Cloud Native Application Protection Platform)の導入も効果的だ。CNAPPとは、従来サイロ化していた
Subscribe to get access
Read more of this content when you subscribe today.
などの機能を組み合わせた統合プラットフォームだ。
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.
