マルチクラウド環境のアイデンティティセキュリティに求められる6つのポイント

インサイト（4）過剰なパーミッション

クラウドの過剰なパーミッションは、ユーザーのみならず、潜在的な攻撃者に対しても、タスクの実行に要求される以上のアクセスを付与するため、些細な不正アクセスでも大惨事に至る危険性があります。クラウドの過剰なパーミッションは、データ漏洩、特権昇格、運用リスクにつながるおそれがあります。

上記の脅威の理想的な対応策として、以下があります。

• ロールベースアクセス制御に基づき、組織的なロールに応じてパーミッションを割り当てる。各ロールには、タスクの実行に必要なパーミッションのみ付与する。
• パーミッションの割り当てを自動化する。ロール、タスク、ワークフローに基づき、パーミッションを自動的に割り当て、調整するツールを使用する。
• 最小特権の原則（PoLP）を遵守し、常に必要最小限のアクセスのみを提供する。パーミッションの検証と調整を定期的に行うことで、ユーザーの現在のロールをタスクに一致させて最適化する。
• JITのアクセスモデルに移行する。永続的な高レベルのパーミッションではなく、特定のタスク向けに一時的なアクセスを提供する。タスクが完了すると、パーミッションは通常レベルに戻る。この対策により、パーミッションを分析・改良する時間が得られる。
• ユーザーアクティビティを継続的に監視し、AI/機械学習ベースのツールを採用することで、異常な行動を検知し、アラートを出す。
• パーミッションの境界線を明確化する。パーミッションの付与に関して厳格な制限を設定することで、管理者であっても、不用意に過剰な権利を付与できない状態にする。

インサイト（5）非ローテーションのシークレット

マルチクラウドアーキテクチャの分野では、シークレットは、APIキー、トークン、公開鍵と秘密鍵の組み合わせ、パスワードなど、機密データやサービスへの重要なアクセス経路として機能します。三大クラウドのAWS、GCP、Azureはそれぞれシークレット管理サービスを提供しています。

しかし、こうしたシークレットが静的な状態のままだと、リスクは増大します。この脅威はバックドアを無期限に開放するようなもので、第三者に悪用されるのは時間の問題です。

すべてのクラウドプラットフォームを対象に、こうしたシークレットをプロアクティブに管理することは、単なるベストプラクティスではなく、必須要件です。

上記の脅威への軽減策は以下の通りです。

• 強制的なポリシーを導入し、定期的にシークレットをローテーションする。その頻度は、シークレットの機密性によって異なることがある。
• シークレットのローテーションを自動化する。クラウドネイティブのツールやサードパーティ製ソリューションを使用し、手作業によるエラーを削減する。マルチクラウド環境の場合、すべてのシークレットの一元管理システムを確立し、一貫したコントロールを適用することは、堅牢なセキュリティプラクティスを維持する上で不可欠。
• シークレットを即座に取り消し、置き換える。不正アクセスの疑いがある場合、これを行うためのメカニズムを導入する。

インサイト（6）非Vaultの管理者アカウント

管理者アカウントは、あらゆるITインフラストラクチャの重要資産として、システムとデータの中枢への特権アクセスを付与します。AWS、GCP、Azureの領域においてこれらのアカウントがVaultを使用しない場合、それはすなわち、重要資産への鍵を無防備に放置しているような状態と同じです。企業がクラウドのプレゼンスを拡大する中、こうしたアカウントとそのパーミッションの昇格を堅牢に管理することは不可欠です。

上記のリスクの軽減策として、次の方法があります。

• すべての管理者アカウントを対象にMFAを導入・適用する。これにより、認証情報が何らかの形で漏洩した場合も、高いセキュリティ強度を実現できる。
• AWS、GCP、Azureのアクセスログと証跡を定期的に監査・検証する。このプロセスは、異常事態や不正アクセスの試みの早期検知に役立つ。
• 新たな管理者の検知とVaultを行う仕組みおよびプロセスを作成（そして、実際の認証情報を持つローカル管理者と複数のIDを連結している管理者を隔離）する。
• セキュアなアクセスを実現するソリューションを導入する。こうした機密性の高いシークレットをエンドユーザーに公開することなく使用しつつ、すべてのアクティビティの完全な監査を維持する。