組織はクラウドに潜んでいる人物を把握する必要がある

ほとんどの組織は、ユーザーがクラウド コンピューティング環境で何ができるかを完全に理解していません。誰が他人になりすまして権限を昇格できるか、どのような権限が利用可能かはわかりません。洞察力の欠如により、組織のビジネスが危険にさらされる可能性があります。

Netskope の上級セキュリティ研究者である Colin Estep 氏は、約 1 年前に Google Cloud Platform の潜在的なセキュリティ脆弱性の調査を始めました。彼は、組織がどのようにして完全なアイデンティティおよびアクセス管理 (IAM) 侵害を評価できるかを理解して、「クラウド環境でユーザーが何ができるか知っていますか?」という質問に答えられるようにしようとしました。

[[356305]]

「私はクラウドプラットフォーム全般に非常に興味を持っています」とエステップ氏は語った。 「そして私は、誰も答えられないような本当に基本的な質問をしました。多くの人は『いや、すべてのユーザーが何ができるかはわかりません。完全な機能が何なのかはわかりません』と言っていました。」

同氏は、クラウドにおけるアイデンティティおよびアクセス管理 (IAM) に関する一般的な問題は、クラウド コンピューティング環境の動的な性質から生じていると述べました。絶えず変化するリソース、出現する新しいサービス、クラウド コンピューティング テクノロジの急速な発展により、組織がこれらの新しいサービスの内容、その仕組み、クラウド内のさまざまなリソースに対する権限の意味を把握することが困難になっています。

「それは単なる懸念事項だ」とエステップ氏は説明した。 「認証は、本当に重要な領域の 1 つです。アイデンティティおよびアクセス管理 (IAM) ソリューションがなければ、機密データが漏洩したり、リソースが悪用または削除される可能性があります。クラウド環境では、あらゆることが起こる可能性があります。」

Netskope はこれまで AWS クラウド プラットフォームを使用してきましたが、顧客の需要増加に対応するために Google Cloud Platform の使用を開始しました。 Estep 氏は、Google Cloud Platform が AWS とは構造や従業員の権限付与方法が異なる興味深いプラットフォームであると感じました。

彼は次のように説明した。「Google Cloud Platform はレイアウトを設計する際に、問題についてより深く考えているように感じます。クラウド環境には階層があり、ユーザーはこの階層内で権限を割り当てることができます。」 Google Cloud Platform には「拒否」ポリシーも設定されていません。 Google Cloud Platform は権限ポリシーを簡素化しようとしていますが、管理者が何が起きているのか把握するためにさまざまなレイヤーをまとめる必要がある場合、状況が複雑になる可能性があると Estep 氏は述べています。

これが、彼が Google Cloud Platform に研究の焦点を当てることにした理由の 1 つであり、これは、近々開催される Black Hat Europe カンファレンスでの彼の講演「Google Cloud Platform での権限マイニング」のテーマでもあります。

「攻撃者がさらにアクセスを獲得した場合、最悪の事態はどうなるでしょうか？想像もつきません」とエステップ氏は語った。彼は研究の一環として、クラウド コンピューティング環境で従業員にどのような権限を付与するかを組織が学習するための概念実証ツール (PoC) を開発しました。ツールを本番環境で使用したところ、結果は予想よりも悪かった。たとえば、クラウド プラットフォームの所有者は、実際に「シャドー管理者」であるユーザーの数を認識していないことが判明しました。つまり、シャドー管理者は、組織レベルでクラウド コンピューティング環境を完全に制御できるようになるまで権限を昇格できるということです。エステップ氏は、Google Cloud Platform にはクラウド コンピューティング環境の最高レベルである「組織」という概念があり、組織管理レベルの従業員はあらゆるレベルの管理機能を継承すると説明しました。

「これらの権限を取得した従業員は、クラウドにアクセスし、ログを変更し、リソースを作成し、データを削除し、すべてのデータにアクセスし、自分自身にユーザーを追加することができます。環境全体を削除すること以外はすべて実行できます」と同氏は述べた。

誰がどの権限を持っているかを理解することで、組織はデータ侵害やその他のセキュリティ インシデントが発生する前にリスクを排除できます。

サービス主導の複雑さにより可視性が低下する

エステップ氏は、Google はこの問題に注目しており、認証と承認に関しては優れた仕事をしていると指摘した。しかし、クラウド コンピューティング プロバイダーに広く見られる問題は、提供するサービスが増えると複雑さが増すということです。多くのクラウド コンピューティング プロバイダーは、顧客向けのプロセスを簡素化するのではなく、より多くのサービスを作成し、何らかの方法で複雑さを回避しています。

彼は、権限が特定の状況または組織の特定の部分でのみ使用できることを規定する追加の制御を促進します。ただし、これらのコントロールは異なるサービスに属している可能性があるため、通常の権限を超えています。これにより、管理者がユーザーの権限を照会して、ユーザーがアクセスできる内容を確認する際に問題が発生します。

「こうした外部からのコントロールが何らかの影響を与えているため、これがすべてではない」とエステップ氏は説明した。 「これらは Google Cloud Platform に固有の問題ではなく、複雑さを増しています。さらにイライラするのは、ユーザーとしてこれを考慮に入れなければならないのに、おそらくユーザーはこれらの問題の存在を知らないということです。」

焦点となるソリューション

Estep 氏は、Google Cloud Platform には多くの階層と権限があると指摘しました。これを理解するには、管理者はすべてのレイヤーを同時に表示する必要がありますが、コンソールでそれを行うのは困難です。このソリューションは、メンバー、Google Cloud Platform 環境構造、サービス アカウントに付与される権限を計画する簡単な方法を組織に提供するように設計されています。

「このプロジェクトはPoCとして始まった。そこで私は、『すべてのユーザーが何ができるかを知ることはできるか』という疑問に答えられるかどうかを確認したかった」と彼は語った。 Netskope が開発し、BHEU でリリースされるソリューションは、ユーザーとその権限を調べて、どのサービス アカウントが偽装される可能性があるかを把握できます。

このソリューションでは、グラフを使用してエンティティと関係をマッピングし、管理者が Google Cloud Platform ユーザーに付与されている権限を確認できるようにします。 API 呼び出しによって関連データが取得されると、管理者が必要とする情報がわかりやすい形でチャートに表示されます。 Estep 氏は当初グラフを使用するつもりはなかったのですが、これは同時に多くの異なるレイヤーを考慮するのに最適な方法です。

エステップ氏は、他のサービスを考慮せずに可視性の問題を解決するこのアプローチは未熟だが、将来的にはそのような機能を統合したいと考えていると述べた。

「まずすべての権限を集約し、それから追加していくことができます」と彼は語った。