ザ・ブリーチ
ここ数ヶ月の間に、インドの小売業、証券会社、レストランチェーン、FinTech分野などの組織で、複数のデータ漏洩が発生しました。これらの情報漏えい事件では、数百万人のお客様の氏名、メールアドレス、生年月日、PANカード、クレジットカード、銀行口座などの個人識別情報(PII)が漏えいしました。
このようなデータは、ダークウェブ上に長期間存在し、悪用しようとする人に販売されることになるため、非常に心配です。すぐには影響が出ないかもしれませんが、これらの情報は、悪質な業者がお客様になりすまして、お客様の名前で詐欺的なサービス、ローン、クレジットカードなどを開設するのに利用することができます。
証券会社の場合、侵害の理由として、以下が挙げられています。 AWSアクセスキー 検証はできていません)。
AWSにおけるAccess Keyとは何か、そしてセキュリティ上の脅威とは何か。
アクセスキーが盗まれたとしましょう。このような事態は様々な方法で起こり得ます。 典型的な例としては、開発者が公開されたGITレポ(パブリックコードリポジトリ)にコードをチェックインし、その情報を悪者が利用するというものがあります。
いったんアクセスキーが悪者の手に渡れば、すぐにクラウドのインフラに大損害を与えることができます。繰り返しになりますが(この点に注意してください)、被害の大きさはアクセスキーの権限に依存します。
証券会社がこれらのファイルをすべてAWSのS3バケットに保存していたとします。AWSのS3バケット(パブリッククラウドのストレージ)は、多くの情報漏えいの対象となっています。また、アクセスキーがそのAWSアカウントの管理者権限を持っていたと仮定しましょう。 これは、私たちが監査した多くのお客様の環境で発生しています。
ハッカーはそれらの管理権限を使って、お客様の王冠データ(PIIデータ)がどこに保存されているかを判断し、それを流出させ、さらに管理権限を使ってアカウントの完全な乗っ取りを行うことができます。
PII=個人を特定できる情報
しかし、(アクセスキーが関連付けられた)IAMユーザーに権限を関連付ける際に最小特権の原則が適用され、仮にIAMユーザーが(PIIではないデータを持つ)いくつかのS3バケットを閲覧する権限しか持っていなかったとしたら、脅威の要因を大幅に減らすことができたはずです。最小特権の原則を適用する方法は数多くありますが、その多くはユースケースに依存します。
注目すべき点は - 私たちが監査したクラウド・アカウントの約90%では、全く必要のない管理者権限を持つIAMユーザーがあまりにも多くいました。このような権限を特定して削減しなければ、脆弱性を放置することになります。
おわりに
ますます多くの企業がパブリック・クラウドを活用するようになると、クラウドの設定や、最も重要なアクセス・キーの作成、クラウドのIAMユーザーへのパーミッションの関連付けの際に適用すべきベストプラクティスについて、教育や情報提供を行うことが非常に重要になります。
常に最小特権の原則を守り、適用すること。最新のセキュリティ製品をすべて備えていても、侵入を防ぐことはできないかもしれませんが、賢くなって被害を最小限に抑え、脅威を検知する窓を小さくすることは確実にできます。
クラウドは設計上、安全であることを忘れてはいけません。しかし、クラウドを利用するお客様は、ベスト・プラクティスに従い、優れたセキュリティ衛生を取り入れなければなりません。 お客様のクラウド・インフラのセキュリティにはお客様が責任をお持ちですので
C3Mについて
- 完全な可視性
- 設定ミスの防止
- コンプライアンス保証
- インシデントレスポンス
- Least Privilegeの実施
- アイデンティティとエンタイトルメントのガバナンス
- リスク姿勢の定量化
