Datadog Japanは11月25日、「Amazon Web Services」(AWS)や「Microsoft Azure」「Google Cloud」を使用している数千の顧客から得たデータを元に分析した「2024年クラウドセキュリティの現状」を公開した。同社でシニアテクニカルエバンジェリストを務める萩野たいじ氏は多数のセキュリティインシデントに対して、「統合プラットフォームの『Datadog Cloud Security Management』でセキュリティ問題を素早く可視化」すると自社製品の有効性を強調している。
Datadog Japan シニアテクニカルエバンジェリスト 萩野たいじ氏
調査結果の基となるのは、米国本社が2023年11月に公開した「2024 State of Cloud Security」。企業規模を問わずに数万社が利用する24億以上のコンテナーデータをまとめている。Datadog Japanは収集したデータを日本語版として再構成し、クラウドセキュリティ情報を広めている。
米国本社版は10の証拠に基づいて提唱していたが、Datadog Japanは7つに限定した。ただし、荻野氏は「見解・仮説に基づき、原因と対策について記述を行っている。本調査結果がすべてのケースに当てはまらない」と注意をうながした。本稿では6つのポイントに注目する。
最初に「AWSマネジメントコンソール」への認証方法だが、異なるシステムやサービス間でアカウント認証を連携するフェデレーション認証のみを使用する割合は54%。「AWS Identity and Access Management(IAM)」の単独利用は24%、両者併用は22%、IAMを基盤にフィデレーション認証も併用するのは46%だった。
パブリッククラウド別に見るとGoogle Cloudサービスアカウントで有効期限の長い認証情報を使用し、1年以上もユーザー管理していない組織が存在する割合は約60%にもおよぶ。これはAWSとほぼ同等だ。Microsoft Azureは登録したアプリケーションを「Microsoft Entra ID」で管理できるが、1年以上の認証を付与しているのは46%だった。
萩野氏は「AWS IAMやGoogle Cloudサービスアカウントを利用する4人に1人はリスクを抱えている。集中化したID管理を使用する組織が増えているものの、長期間有効な認証情報を持ち管理されていないユーザーが依然として多く使われている」ためだと背景を説明した。
認証情報の有効期限別ユーザーの割合
2つ目は、誤って公開したデータや資源がインターネットでアクセス可能になることを防ぐ、パブリックアクセスブロックからAWSのオブジェクトストレージサービスである「Amazon S3」へ移行しつつあるとの調査結果である。Amazon S3の利用率は1.48%と昨年の1.5%から大差ないものの、アカウント中心に運用している組織は79%におよんだ。
荻野氏は「S3パケットのパブリックアクセスを積極的にブロックする事実が原因。Microsoft Azureの『Azure Blob Storage Container』は2.6%。パブリックは2023年の5%から減少している。約5分の2はアクセス保護されているものの、理由はMicrosoftが2023年11月以降に作成されたストレージアカウント対する使用変更が影響しているのだろう」と概要を説明した。
AWSのS3バケット増加率
3つ目は「Amazon EC2」インスタンスに関するメタデータを収集する「Instance Metadata Service v2」(IMDSv2)の有効率。こちらは順調に増加しているという。この1年間で25%から47%に増加したのは、組織の意識変革とAWSが新規リージョンに対して、LinuxディストリビューションでIMDSv2を既定で有効にする仕組みを設けた結果だとDatadog Japanは述べている。ただし、IMDSv2を有効にしているECインスタンスの割合は千差万別。これはIMDSv2を使用せずともEC2インスタンスを使用できるため、セキュリティ意識の低い組織が20%以上も存在することを浮き彫りにした。
IMDSv2を必須にしているEC2インスタンスの割合別で見た組織の割合
4つ目はマネージドKubernetesクラスターがAPIをインターネットに公開している割合。「Amazon Elastic Kubernetes Service」(Amazon EKS)は48%、Microsoft Azureの「Azure Kubernetes Service」(AKS)は41%、「Google Kubernetes Engine」(GKE)は66%と高リスクにさらされている状態を示した。荻野氏は「(パブリッククラウド側が)既定でセキュリティメカニズムを有効、もしくは強制している。リスクが増大するクラウドリソースは最適なセキュリティを得られない」と指摘している。
5つ目はサードパーティー統合したIAMロールに対するAWSアカウントへの攻撃対象。過剰な権限が付与されているサードパーティー統合のIAMロールが狙われた割合は10%、外部IDを必須としていないIAMロールの割合は2%だった。荻野氏は「顧客のAWSアカウントを統合するベンダーは増加しているため、本調査は一つの脆弱(ぜいじゃく)性を表現している。特に2%は外部IDの使用を強制しておらず、Confused Deputy(混乱した代理)攻撃にさらされてきた。クラウドアカウントで信頼しているサードパーティー統合のインベントリーを作成しつつ、ベンダーを利用停止する際は必ずロールを削除することをお薦めしたい」と提案した。
6つ目は数値が示されなかったので割愛する。最後の7つ目は、Amazon EC2インスタンスなどの機密性に対する脆弱性についてだ。2023年と比較すれば軽減状況にありつつも、1%の組織は管理者権限でアクセスしているという。特にGoogle Cloudにおける管理者権限のアクセスは、2023年の17%から13%、機密データのアクセスは20%から変化はなかった。
荻野氏によれば「組織単位でAWSアカウントの管理を行う『AWS organizations』を利用する際は、特定のアカウントにワークロードをデプロイしないことを推奨してきた。13%の『Google Cloud VM』も無制限のクラウドプラットフォームスコープを持つコンピューターエンジン、デフォルトサービスアカウントや実行プロジェクトに対して、いわゆる編集権限を持っている。先の20%を合わせると3人中1人が機密情報へアクセスできた」と警鐘を鳴らしている。