2021年 (ISC)² Blog 和訳

2021年5月

Cloud Security INSIGHTS 5月号
クラウドの設定ミスを修正することの難しさ

By InfoSecurity Professional Staff
(隔月発行のメールマガジン「Cloud Security INSIGHTS」では、クラウドセキュリティに興味を持つ情報セキュリティ実務者の専門能力開発のために、タイムリーで価値の高いオリジナル記事をお届けしています。)

近年、クラウドネイティブな環境への移行が加速しているにもかかわらず、いやむしろ、そのせいなのかもしれませんが、クラウドの設定ミスの修正には、数日という単位ではなく、平均的で数週間・数ヶ月という時間がかかっています。今年初めに発表された調査は、この対応の遅さによって、SolarWindsで発生したような水飲み場攻撃がクラウドにもやってくる可能性を示唆しています。

Accurics社の共同設立者兼CTOであるOm Moolchandani氏は、「当社の調査によると、チームは急速にマネージドサービスを利用し始めており、確実に生産性を向上させ、開発速度を維持している」と述べています。「しかし残念ながら、これらのチームは、関連するリスクを理解できていない。デフォルトのセキュリティプロファイルや設定に依存し、過剰な権限を与えていることが見受けられる」。

Cloud Cyber Resilience Reportでは、以下のような結果が得られました。

・分析対象となった組織の35%が、クラウドにおけるロールベースのアクセス制御の不適切な使用に苦慮しており、その結果、ロールに必要以上の権限が与えられている。
・10社のうち1社は、使用しない高度なクラウドセキュリティ機能にお金を払っている。
・攻撃者によるデータの監視、窃盗、改ざんを可能にするマネージドインフラストラクチャサービスの設定不良は、指摘されているクラウド関連の「違反」の4分の1を占める。
・ハードコードされた認証情報は、確認された違反行為の約10%を占める。・23%ではマネージドサービスの設定が不十分である。

安全でないクラウド設定による侵害の増加

調査結果を得るために、Accurics社は、Terraform、Kubernetes、Helmなどのツールを用いて構築され、主にAmazon Web Services、Microsoft Azure、Google Cloud Platform上で実行されている実世界のプロジェクトと、業界のベンチマークや確立されたベストプラクティスを比較しました。オープンソースのツールを使用して、コードがセキュリティポリシーに適合していない事例を抽出しました。ルールに適合しているランタイム構成に、ルールに適合していないアップデートを適用するような違反は"ドリフト "と呼ばれます。

"ドリフト"は、手動またはアナリティクスやオーケストレーションなどの自動化されたツールによって、ランタイム環境に構成変更が直接適用される場合に発生します。

研究者によると、多くの違反の原因は、開発チームが「ストレージサービス、セキュリティグループやマッピング、ハードコードされた認証情報、ネットワークの設定を誤った」ことである、と結論づけています。 違反件数の23%は、設定が不十分なマネージドサービスによるもので、特にデフォルトのセキュリティ設定が不十分なものが多く見られました。

既知の欠陥の修正にかかる時間

Accurics社の調査によると、欠陥が発見されてから修正されるまで平均で25日かかっており、その間、企業は脆弱な状態に陥ります。一般的なドリフトの問題を解決するのに約21日、特定の違反に関しては、対処に最大149日かかっています。

Kubernetesのユーザーについては、ロールベースのアクセスコントロールを実装する際に、適切な粒度が設定されていないことが指摘されました。「現実に、評価対象となった組織の35%がこの問題に直面している」と述べています。

「システムコンポーネントが実行されるデフォルトの名前空間を不用意に使用してしまうことは、攻撃者にシステムコンポーネントや秘密情報へのアクセスを許してしまう可能性がある、最も一般的な過ちである」と付け加えました。

この報告書では、クラウド環境で行われる作業について、コーディングの一貫性を確保し、ポリシーの遵守を担保するため、自動化された監査を行うことを推奨しています。

水飲み場攻撃の増加

このレポートでは、SolarWinds社の攻撃の影響にも焦点を当てています。この攻撃では、悪意のあるアクターがソースコードを修正した上でマスクし、正当な開発者のものであるかのように見せかけています。攻撃者は、この広範囲にわたる標的型水飲み場攻撃が発見されるまで、数ヶ月もの間、何万人ものSolarWinds社の顧客を密かに監視していました。現在、より多くの開発者がクラウド環境で作業をしているため、この種の攻撃は頻度と巧妙さを増していることが予想されます。

Accurics社の研究者は、「クラウドで作業する場合、すべての環境は同様に危険に晒されており、役割や認証情報を共有していることが多いため、本番環境として扱うべきである」と述べています。「1つの環境が侵害された場合、同じロールを使用しているすべての環境が侵害されていると考えなければならない」

今回の調査では、ソフトウェア開発を含む多くの機能がパブリック、プライベート、ハイブリッドのクラウドプラットフォームに移行していく中で、サプライチェーンセキュリティとクラウドセキュリティがいかに重要であるかが明らかになりました。既存のシステムから新しいクラウドベースのサービスに移行すると、事前に対策を講じない限り、脅威のプロファイルが大幅に変化することを、経営者からエントリーレベルの開発者までが理解する必要があります。

そのためには、設定ミスに細心の注意を払い、迅速に修正を行うことが必要です。ミスは必ず起こります。企業がどのように対応するかで、大きな違いが生まれるのです。

View INSIGHTS Archive>>

原文記事: https://www.isc2.org/InfoSecurity-Professional/Cloud-Security-Insights