クラウド診断の専門家が解説
AWSで想定されるセキュリティ上の課題と、それを克服する診断サービス

• AWS
• Goole Cloud
• サイバーセキュリティ
• セキュリティ

AWS（Amazon Web Services）やGoogle Cloudなどのクラウドサービスでは、数々の便利な機能をすぐに利用できるメリットがあります。しかしその一方で、設定が多岐にわたるため、不備や不注意によってIT資産が脅威にさらされる危険性もあります。そこで、AWSおよび Google Cloud の利活用支援を行うCloudCREW byGMO(以下、CloudCREW)では、クラウドのセキュリティリスクを可視化する「クラウド診断」をGMOサイバーセキュリティ byイエラエ株式会社（以下、イエラエ）とともに提供しています。今回は、AWSでのセキュリティのポイントに焦点をあて、イエラエの高度解析部 クラウドセキュリティ課 課長の永尾 大介 氏に、脅威の背景や診断の内容・実例についてお聞きしました。

クラウドの利用が進み、設定の不備によって重要な情報が脅威にさらされている

イエラエは、2013年に設立されたサイバーセキュリティ企業です。ホワイトハッカーで構成された脆弱性診断業務のほか、セキュリティやAIに関するコンサルティングやシステム開発を手掛け、2022年4月にGMOインターネットグループに参画しました。そのミッションは「誰もが犠牲にならない社会を創る」です。ホワイトハッカーとは、コンピューターやシステムの高度な知識を有し、それを善良な目的で使用するエンジニアのことです。さまざまな企業がITシステムのハッキング被害によりサービスを終了せざるを得ない事態に陥っています。そのようなことが起きないよう、支援の活動をしているのです。

永尾氏は前職ではハードウエアに関するホワイトハッカーをしていました。2020年にクラウドセキュリティ課が新設されることに伴いイエラエにジョインし、クラウド診断の立ち上げから関わってきました。自信でもAWSやGoogle Cloud、Salesforceの診断を担当しながら、各種診断プロジェクトのマネジメントも担当しています。

永尾氏は、世界最大のサイバーセキュリティ専門家資格の非営利団体である(ISC)²が公表した、クラウド上で発生した重大脅威の統計を説明しました。これによると、クラウドの設定不備、安全でないインターフェース、機微情報の漏えい、許可されていないアクセス、アカウントの盗用などが上位の脅威とされています。

また永尾氏は「総務省でも『クラウドサービス提供・利用における適切な設定に関するガイドライン』を公開しています。このガイドラインによると、組織の知識・スキル不足や作業規則が不十分な点などが要因となっているとあります。この資料はクラウドに関連したお仕事をされるにとって非常に有益なのでご一読することをおすすめします」と話しました。

意図しない作業ミスを防ぐには、証跡を残しながらダブルチェックをしていく必要がありますが、それを実施するにあたってもセキュリティ担当者の知識が問われます。永尾氏は「クラウドサービスには日々新しいサービスが展開され、その情報を追いかけるだけでもかなりの労力が必要となります。ですから、専門的な第三者によるセキュリティ診断サービスが求められているのです」と説明しました。

実際にどのようなインシデントが発生しているか、永尾氏はいくつかの事例を説明しました。1つは、独自のWAF（Web Application Firewall）を運用していた環境で、大規模な情報漏えいが発生したケースです。内部サーバーへのリクエスト結果を返すという設定ミスから、SSRF（Server Side Request Forgery）という攻撃によって仮想サーバーであるAmazon EC2（以下、EC2）インスタンスに記述されたメタデータを取得、AWS上のリソースにアクセスできる認証情報が窃取されました。その認証情報をもとにデータの保存場所である700を超えるAmazon S3（以下、S3）バケットにアクセスされ、大量のデータが抜き取られました。

このケースのポイントについて永尾氏は「直接的な原因はAWSの設定ではなくて独自運用のWAFの設定ミスですが、被害が拡大した原因は盗まれた認証権限が過大だったことも挙げられます。構築時には高い権限の認証情報を使うこともありますが、本番運用前には必ず権限を見直す必要があります」と解説しました。

このインシデントが生じたことから、AWSではEC2インスタンスのインスタンスメタデータサービスのバージョン2をリリースし、メタデータのアクセスにはトークンが必要となりました。しかし永尾氏は「実際にはデフォルトではバージョン1も利用できるようになっているため、EC2インスタンスの構築時にはバージョン2のみを有効にする設定が必要となります」と指摘しました。

次のインシデント事例は、サーバーの不正起動によって高額請求が発生したケースです。発端は、プログラムからAWSを操作するための「AWSアクセスキー」とよばれる認証情報の漏えいです。AWSアクセスキーを得た攻撃者はEC2インスタンスを大量に起動し、仮想通貨のマイニングを行っていました。幸いにも、コストが一定の値を超えると通知する設定をしていたため、事態が発覚しました。

永尾氏は「漏えいしたAWSアクセスキーは、メッセージアプリ上で複数の人に共有されるという、通常では考えられない運用方法でした。アクセスキーの管理を適切に行うことが第一の対策ですが、誰がどんな操作をしたかを特定するために、個別のアクセスキーで運用しなければなりません。アクセスキーも生成から削除までのライフサイクル管理をして、漏えいしたときの危険性を減らす運用も必要です」と説明。さらに、アクセスキー利用時の多要素認証を必須とするために、IAMポリシーによる制限が必要だとアドバイスしました。

診断でよく見つかるAWSの設定不備と、担当者が知っておきたい管理のポイント

続いて永尾氏は、イエラエで実施したAWS上のセキュリティ診断でみつかった脆弱性の例を説明しました。1つ目は、S3バケットのポリシー設定不備により、非公開データが外部からアクセス可能になっていた例。「設定項目の『Principal』がすべて受け入れるという意味の『＊』となっています。ファイルのURLがわかれば誰でもアクセスできる状態です。このほか、特定の経路から、外部の攻撃者が持つAWSアカウントからS3パケットにアクセス可能となる設定が見つかることもあります。これらの対策には、バケットポリシーを適切なものに修正する必要がありますが、『ブロックパブリックアクセス（BPA）』機能を有効化しておくと、今後S3バケットが誤って公開設定になることを防いでくれるので簡単かつ有効です。」（永尾氏）

2つ目は、サーバーレスサービスのAmazon API Gatewayでの設定不備のケース。公開する予定のないAPIへのアクセスが可能になっていたというものです。「APIのバックエンドとして動作する関数サービスのAWS Lambdaを経由してデータベースにアクセスするような構成で、認証を得ずにデータベースの読み書きができるようになっていました。対策としては、オーソライザーや後続のAWS Lambdaによる認可制御の追加が考えられます。APIへの接続元が限定されているのであればIPアドレスの制限も有効です」（永尾氏）

3つ目はAWS Lambdaの設定不備。データベースへのアクセス情報などが関数のソースコードや環境変数に暗号化されないまま平文で設定されているようなケースは多く見られるといいます。「パスワードが筒抜けになりますし、ユーザーの認証情報が漏えいした場合は攻撃者にもわかってしまいますので横展開に利用されるリスクがあります。機密情報はAWS Secrets ManagerやAWS Systems Manager Parameter Storeを利用し、そこを参照する形にすることが有効です」（永尾氏）

4つ目は、メッセージキューサービスのAmazon SQSや通知サービスのAmazon SNSなどにおけるリソースポリシーの不備により、外部からデータの読み取りや書き込みが可能となっている例。これもS3の例と同じように「Principal」の値が「＊」となっているケースがよく見られるといいます。「このままでは外部のデータを読み取ったり、偽の通知を送信されたりするリスクがあります。ポリシーの不備を見直し、AWS IAM Access Analyzerを活用して外部からのアクセスを確認できるようにしておきます」（永尾氏）

このようなAWS上の設定不備によって攻撃を受け、サービス停止を余儀なくされたり、情報漏えいによって顧客からの信頼を失ったりするなど、大きな損害が生じてしまいます。組織内に専門知識や技術を持った人材を育成・採用することが重要ですが、永尾氏は、比較的容易に設定不備を防ぐための方法として、以下のようなAWSで提供されるセキュリティサービスの利用を推奨するとしました。

※ サービス仕様は、2023年7月4日時点の情報です。最新情報は、公式サイトをご参照ください。

永尾氏は、これらのセキュリティサービスを利用の うえ、それぞれの検出不備を見つけたり、結果から設定を修正したりする体制を整えておくことが肝心であることを説明。社内に専門家がいない場合や対応内容に不安がある場合は、外部の専門的な診断サービスを利用することを推奨するとしました。

多様な診断項目と、ホワイトハッカーの視点によるクラウド診断

CloudCREWが提供するクラウド診断には、ライト、スタンダード、アドバンスド、カスタムの4つのプランがありますが、このうちライト以外はイエラエが担当しています。永尾氏は診断の内容について説明しました。各プランとも、CSPM（Cloud Security Posture Management）と呼ばれるフレームワークを使って、AWSのマネジメントコンソールの設定をチェックするCISベンチマークパックの項目をチェックします。

スタンダードプランは、さらにクラウドワークロード保護のCWPP（Cloud Workload Protection Platform）項目をチェックするツールを使います。マルウェアの存在やアクセスキーや秘密鍵の管理、古いOS利用、脆弱なパスワードの使用などをチェックします。

カスタムプランではさらに、ツールでは評価が難しい設計仕様や、認可制御の検証や特権昇格やシステム内の横展開などの具体的な攻撃の検証を、攻撃者の視点から手動で診断します。なお、カスタムムランでは、さらにソースコードやKubernetesクラスタ、コンテナの診断も行います。

スタンダード、アドバンスドプランの診断項目

2. CWPP項目

クラウドワークロード（VM、DB、コンテナ、App等）を保護する項目

3. 攻撃者目線の手動診断

イエラエの診断の特徴について永尾氏は「見つけた脆弱性指摘事項を利用して、どんな被害の可能性があるかをホワイトハッカーが実証手順も含めて記述してレポートします。実際の攻撃を示すことができるのです」と説明しました。なお、診断レポートには脆弱性のレベルが記載されています。依頼した企業はレベルの高いものから優先順位をつけて見直しや修正を行い、そのうえで再度診断を依頼するのが通常の流れとなっています。

守るべき情報や受けるべき診断のポイントについて永尾氏は「セキュリティのポイントは、機密情報や個人情報、サービスに関する情報など、漏れては困る情報を徹底して守ることです。管理する情報は何かを見極めるのが最初のポイントですが、不安ならプロに依頼するのが有効です。プロの診断を受けたことがない場合や、大きくシステム構成が変わった場合はアドバンスドプランを、その後構成があまり変わらなければ1年後にスタンダードプランの診断を受けるといった頻度でいいのではないでしょうか」とアドバイスしました。

CloudCREWとイエラエは、クラウド診断だけでなく、Webアプリケーション診断、スマートフォンアプリケーション診断もご提供しています。CloudCREWが窓口となり、診断前のコンサルティング、脆弱性診断の実施から診断結果のご報告、セキュリティの課題解消に向けた施策のご提案・実行に至るまで、包括的な支援を提供しております。クラウド設定やアプリケーションのセキュリティでお困りのお客さまはぜひご相談ください。