エクサフォースでは、SOCチームの人的負担を軽減するため、初期の設計パートナーと連携して取り組む中で、現在のクラウド利用パターンに関する貴重な洞察を得ています。そこから、より広範かつ動的な脅威対象領域が明らかになっています。多くの組織は、CSPM、SIEM、SOARなどの堅牢なセキュリティツールに投資していますが、こうしたソリューションでは、変化し続ける行動やリアルタイムの脅威に含まれる微妙な兆候を見逃すことが少なくありません。
ユースケース:長期認証情報を持つ単一のIAMユーザーが複数拠点からアクセスするケース
あるデバイス製造会社では、デバイステスト、テレメトリ収集、複数の地域にまたがる工場でのメトリクス収集など、さまざまなタスクに長期認証情報を持つ単一のIAMユーザーを使用しています。この集約されたアイデンティティは、LinuxやWindowsなどの異なるオペレーティングシステムや環境から使用されるため、リスクが増大します。
脅威ベクトルと監視に関する推奨事項
このような構成に伴うリスクを軽減するには、以下の優先施策に基づく継続的な脅威監視に重点を置きます。
1. IP許可リスト
- 各工場に対して許可するIPアドレスのリストを定義し、適用します。
- 未承認のIPアドレスからのアクセス試行に対してアラートを生成します。
- ツール:AWSのポリシー条件を使用します。以下は、CIDR 192.0.2.0/24、203.0.113.0/24以外をすべて拒否する例です。
2. リソースアクセス監視
- IAMユーザーがアクセスするリソースを継続的に監視し、ログに記録します。
- アクセスパターンを、各工場またはタスクで想定される動作と相関分析します。
- ツール:CloudTrailログと連携したSIEMプラットフォーム。
3. 認証情報の定期ローテーション
- 長期認証情報を定期的にローテーションする厳格なポリシーを実装します。
- トークンローテーションを自動化し、異常なローテーション遅延に対するアラートを連携します。
4. ユーザーエージェントとデバイスの検証
- ユースケースごとに、許可されるユーザーエージェントの事前定義済みリストのみを特定し、許可します。たとえば、LinuxやWindows Serverなどの特定のOSバージョンです。
- 未承認の場合のmacOSなど、想定外のオペレーティングシステムからのアクセスを異常としてフラグ付けします。
- ツール:EDRとAWS CloudTrailログを相関分析し、検出を生成するSIEMプラットフォーム。
ユースケース:GitHubパイプラインにおける長期IAMユーザー認証情報
当社のSaaSプロバイダーパートナーの1社は、長期のAWS IAMユーザー認証情報を静的なGitHubシークレットとしてGitHub ActionsのCI/CDパイプラインに直接設定し、自動化スクリプトがAWSにサービスをデプロイできるようにしています。この慣行には重大なセキュリティリスクがあります。CI/CDパイプラインに保存された認証情報は、偶発的な漏えいや外部侵害によって容易に露出する可能性があります。最近のSisense(2024年4月)やTinaCMS(2024年12月)の事例に見られるように、攻撃者がクラウドへの不正アクセスを取得し、権限を昇格し、機密データを流出させるおそれがあります。
脅威ベクトルと監視に関する推奨事項
このアンチパターンに関連する脅威を監視・検出するには、以下の優先施策を検討します。
1. 認証情報の使用状況監視
- IAMユーザーのアクティビティを継続的に監視し、通常とは異なるアクセスパターン、リージョンの変化、権限昇格の試みなど、異常なアクションに対してアラートを設定します。
- ツール:CloudTrailログと連携したSIEMプラットフォーム。
2. 認証情報の定期ローテーション
- 長期認証情報を定期的にローテーションする厳格なポリシーを実装します。
- トークンローテーションを自動化し、異常なローテーション遅延に対するアラートを連携します。
修復策:OIDCによる短期認証情報
GitHub ActionsのOpenID Connect(OIDC)連携へ移行し、長期キーを埋め込む代わりに一時的な認証情報を使用できるようにすることで、リスク露出を最小限に抑えます。
マルチアカウント環境における権限セットの不適切な使用
あるクラウドファーストのSaaSプロバイダーは、AWSの権限セットを不適切に使用しており、機密性の高い権限セットやポリシーが定義されている管理アカウントに直接アクセスをプロビジョニングしています。本来は、これらをメンバーアカウント全体に正しくプロビジョニングする必要があります。この構成はポリシー管理を複雑にし、管理アカウントの監視が不十分な状態を生みます。その結果、本番環境やステージング環境に影響が及ぶ前に、アイデンティティ脅威が発生し得る死角が生じます。
脅威ベクトルと監視に関する推奨事項
1. 管理アカウントアクティビティの監視
- CloudTrailログと連携したSIEMツールなどのAWSツールを使用して、管理アカウント内のすべてのIAM変更およびポリシー変更を監視します。権限セットの変更やクロスアカウントロールの引き受けに対して、検出によりアラートがトリガーされる必要があります。
2. 信頼関係の設定ミス
- クロスアカウントロールの信頼ポリシーを監査し、意図したアクセスのみを許可していることを継続的に検証します。
- ツール:承認済み構成からの逸脱をフラグ付けするAWS Configルール。
3. ポリシードリフトと不正な変更
- 権限セットおよび関連するIAMロールの自動定期レビューを実装します。これにより、ドリフトや不正な変更を迅速に検出し、修復できます。
- ツール:CloudTrailログと連携したSIEMツール。
ルートユーザーアクセスの第三者への委任
AWSの請求管理や管理業務のためにルートユーザーアクセスを第三者へ委任することは、一見すると低リスクに思えるかもしれません。しかし、これにより企業は最も高い権限を持つアカウントを直接監督できなくなります。長期パスワードやMFAトークンを含むルート認証情報が外部で管理されている場合、リスクは大幅に高まります。第三者が侵害されたり、管理上の制御を誤ったりした場合、攻撃者がAWS環境全体に無制限にアクセスできる可能性があります。
脅威ベクトルと監視に関する推奨事項
1. 不正なルートアクティビティの監視
- CloudTrailとSIEMアラートを通じて、すべてのルートユーザー操作を監視し、異常な動作を検出します。
- ツール:CloudTrailログと連携したSIEMツール。
2. 第三者の侵害
- 第三者のアクセス権限とセキュリティ態勢を定期的に監査します。
- ツール:アイデンティティアクセス管理ツール。
修復策:ルートアクセスの一元管理
ルートアクセスを削除し、AssumeRootを使用してルートアクセスを一元管理する方式へ移行することで修復します。AssumeRootは、特権タスク用の短期認証情報を発行します。
エクサフォースがこれらの課題に対処するためにエクサボットをどのように活用しているかについては、お問い合わせください。
