クラウドセキュリティにおける「特権クリープ」への対応

クラウドセキュリティ部門が、クラウド環境に対する最大の脅威の 1 つである、攻撃経路を作り出す過剰な権限を持つアイデンティティのネットワークに気づけないという問題は珍しくありません。 環境全体における最小権限の適用の自動化によって、クラウドアイデンティティのコントロールを取り戻す方法をご紹介します。

よくあるシナリオを例に問題を具体的に説明します。 ある組織はマルチクラウド環境のセキュリティに多大な労力と資金を投じてきましたが、過剰な権限という、重大な領域の対策を見落としていました。そのため、クラウドセキュリティチームは次のような重大な問題に気がついていません。

• ゾンビ管理者: 今年の初めに退職したシニアエンジニアの AWS の管理者レベルの権限を持つアカウントがそのままになっており、有効で、組織の最も重要なインフラへの直接的な経路を提供しています。
• ゴースト請負業者:ビッグデータ分析プラットフォームを構築するために雇われたサードパーティのチームは、昨年プロジェクトを終了。 作業者は誰も残っていません。しかし、 すべてのデータセットとストレージバケットの読み取り/書き込みアクセス権限のある彼らのロールはそのままになっています。
• 「念のため」のサービスアカウント: CI/CDパイプラインは、新しいアプリケーションインスタンスを展開するためにサービスアカウントを使用します。 このアカウントには AWS Elastic Compute Cloud (EC2) の権限があるため、サーバーを作成できるばかりか、アカウント全体のサーバーの削除や変更も可能です。 これは危ない!

このブログ記事では、組織にとって過剰権限に対する対処が困難な理由を考察し、アイデンティティ管理問題がマルチクラウド環境を危険にさらさないようにする防御方法を説明します。

権限クリープという静かに拡大する問題

オンプレミスと複数のクラウドプラットフォームが混在する環境を保護する必要がある場合には、アイデンティティが新たなセキュリティの境界となります。 すべての人間のユーザー、サービスアカウント、サードパーティ統合は、潜在的な侵入口です。 このようなアイデンティティが必要以上のアクセス権限を蓄積することは、よくある、しかし深刻な問題で、その結果としてアクセス権限が乱立することになります。 言うまでもなく、攻撃者はこの巨大な隠れたアタックサーフェスを悪用する準備を整えて待ち構えています。

タスクに必要な最小限の権限しか与えないという最小権限の原則は、アイデンティティを保護するうえでの最適な標準となります。 しかし、動的なマルチクラウド環境で最小権限の原則を適用することは、言うは易く行うは難しです。

過剰な権限の防止が難しい理由

過剰な権限が意図的に与えられることは、ほとんどありません。 先の仮定的なシナリオで示したように、権限は「権限クリープ」のプロセスを通じて長期間にわたって蓄積されていきます。

無期限の過剰な特権を持つアカウントが 1 つでも侵害されると、それが壊滅的な攻撃の起点となる可能性があります。 攻撃者は、これらの権限を使用して環境を横断するラテラルムーブメントを行い、自身の権限を昇格させ、最終的には最も機密性の高いデータを見つけて窃取します。 最も問題となるのは、ほとんどの組織では可視性が欠如しており、手遅れになるまで、そのような事態が起きていることに気づくことさえできないことです。

手作業による混乱から自動コントロールへ

権限過剰な状態を手作業で制御しようとするのは、決して勝つことのできない、イライラさせられる終わりのないモグラたたきゲームをしているのと同じです。 AWS、Azure、GCP、Kubernetes 全体を断片的にしか可視化していない場合、「誰が何へのアクセス権限を持っているのか、そして、実際にその権限を必要としているのか」というシンプルな問いに答えることはほぼ不可能です。 複数のサイロ化されたツールに頼っていては問題が悪化し、攻撃者が容易に悪用できる盲点が生じるだけです。

最小権限の原則を真に、大規模に適用するには、包括的な可視性をインテリジェントな文脈や強力な自動化と組み合わせた、新しいアプローチが必要です。 そのために欠かせないのが、最新のクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) です。

Tenable Cloud Security による最小権限の実現

目標は、リスクのある権限を単に検出するだけでなく排除することで、それを業務を停滞させずに、先行的かつ体系的に実行することです。 Tenable One サイバーエクスポージャー管理プラットフォームを基盤とする Tenable Cloud Security は、ハイブリッドクラウドとマルチクラウドのフットプリント全体にわたって最小権限を適用するために必要な明確性、文脈、制御を提供します。

これは 3 つの主要な柱によって達成されます。

1. 包括的なアイデンティティ検出: Tenable Cloud Security は、環境全体のあらゆるアイデンティティをエージェントレスで継続的にマッピングします。 有効な権限を識別し、孤立したアカウントを検出し、使用されていないロールにフラグを立てることで、常に最新に保たれた完全なアイデンティティのインベントリを提供します。
2. リスクの文脈的関連付け: 重要でない開発サーバーの管理者アクセス権限を持つユーザーの存在は懸念すべき問題ですが、機密性の高い顧客データを含むデータベースへの過剰なアクセス権限を持つサービスアカウントは、危機の引き金になるおそれがあります。Tenable One は、アイデンティティリスクを、ソフトウェアの脆弱性、システムの設定ミス、機密データの在処などの他のエクスポージャーと関連付けます。 これらは極めて重要な文脈情報となり、最も危険な攻撃経路を明らかにして優先的に対処することを可能にします。
3. 最小権限の自動適用: Tenable Cloud Security は、過剰な権限の問題を検出するだけでなく、問題の一括修正にも貢献します。カスタムポリシーを定義すれば、管理者権限を制限したり、多要素認証を適用したりできます。 さらに重要なのは、使用されていないアクセス権限の取り消し、過度に広範なアイデンティティアクセス管理 (IAM) ポリシーの厳格化、ジャストインタイム (JIT) アクセスワークフローのトリガーを自動で実行できることです。 これにより、権限が必要期間を過ぎて付与されている状態を防ぎ、攻撃者が悪用できる隙を大幅に減らすことができます。

クラウドアイデンティティのコントロールを取り戻す

冒頭で説明した仮定シナリオを使って、混沌としたクラウドアイデンティティの問題に対処するために、Tenable がどのような支援を直ちに提供できるかを紹介します。

• Tenable は、ゾンビ管理者アカウントを、高リスクで休眠状態にある過剰な権限を持ったアイデンティティとして即座にフラグ付けします。クラウドセキュリティチームは、このアカウントをワンクリックで非アクティブ化できます。
• 残存する請負業者のロールは、クラウドデータストアに対する重大な脅威として特定されます。 クラウドセキュリティチームは、Tenable を使用し、各ロールに必要な権限に基づいて適切な内容の新しい IAM ポリシーを生成します。 このポリシーは、すべての請負業者用のテンプレートとして利用できます。
• CI/CD サービスアカウント内のすべての権限が明らかにされ、必要な権限と使用していない権限が特定されるので、それらの権限を適切に調整できます。

Tenable は、長期化した過剰なアクセス権限が存在する状態から、「必要なときに必要なだけ」のアクセス権限を与えるモデルへと移行することで、最小限の権限を適用してセキュリティ態勢を強化できるようにします。これによるメリットは次の通りです。

• アタックサーフェスの縮小: 攻撃者が権限昇格やラテラルムーブメントに使用する経路を排除します。
• アクセスコントロールの強化: 実際に必要とする以上のアクセス権限を持つアイデンティティをなくし、データ損失を防ぎます。
• コンプライアンスの簡素化: インターネットセキュリティセンター (CIS)、米国国立標準技術研究所 (NIST)、国際標準化機構 (ISO) などの機関による標準に照らしたアクセスガバナンスを継続的に実証し、適用します。
• DevOps の大規模な保護: CI/CD パイプラインに権限チェックを直接組み込み、新しいアイデンティティの使用をデフォルトで安全かつ最小限の権限を持った状態から始められるようにします。

過剰なアクセス権限をカギに、攻撃者がクラウド環境に侵入できるような状態は許されません。 クラウドアイデンティティ境界のコントロールを取り戻す必要があります。

詳細は、こちらをクリックして、真の最小権限の適用を大規模に実現するために、Tenable Cloud Security がリスクのある権限の検出、優先順位付け、修正をどのように支援できるかをご覧ください。