クラウド事故を引き起こすAWSのセキュリティリスクTOP3

今回のCloud Security Managineでは、クラウドセキュリティプラットフォーム「Cloudbase」を提供する弊社が、発生可能性と危険度の高いセキュリティリスクTOP3をご紹介いたします。

クラウド事故の99%は設定ミスが原因

クラウドにおけるセキュリティインシデントの原因は、単なる設定ミスであることがほとんどであり、その割合は2020年時点では95%を占め、2025年時点では99%を占めると予想されております。クラウドを利用するうえでセキュリティレベルを確保するためには、設定ミスを常に確認し、迅速に修正していくことが求められます。

AWSのセキュリティリスクTOP3の紹介

危険度が高くかつ頻発しやすい設定ミスTOP3をご紹介いたします。これらの項目は情報漏えい事故やサービス停止など、ビジネスに甚大なダメージをもたらす可能性があります。

第1位：SSHポートの開放

なぜ危険なのか？

SSHのポートが公開されていることで、不正にSSHでログインされるリスクがあります。

不正なSSHログインによって、ネットワーク内のリソース（例えばデータベース）にアクセスされたり、インスタンスにアタッチされているIAM Roleなどの権限を使って不正にAWSのリソースを操作されることにつながります。

OSSのSSHライブラリ「libssh」では、認証をバイパスできてしまう脆弱性が2018年に発見されており、ポートの開放を行っていること自体がリスクとなります。

また、パブリックIPを持つインスタンスの場合にアクセス元を制限するのはもちろんのこと、パブリックIPを持たない閉じたネットワークのインスタンスであってもある程度制限をかけることが望ましいとされています。

さらに、現在使用していないセキュリティグループであっても、将来誤って利用されることでリスクを生み出す可能性があります。

事故例

個人情報流出や、不正にEC2インスタンスが建てられてビットコインのマイニングをされ法外な請求がされるといった事故につながります。特に個人情報の漏えいのケースでは被害額が数億円にのぼることも珍しくありません。IBM社のリサーチによると、2020年における国内の情報漏えい事故の平均被害額は4.5億円と報告されております。

第2位：S3ストレージバケットの開放

なぜ危険なのか？

S3バケット内に個人情報などの流出してはいけないデータがある場合大きなリスクになり得ます。

また、公開してもよいデータ（例えば画像などの静的コンテンツ）だけの場合であっても、CloudFrontを介して配信を行うことが一般的です。CloudFrontを経由することで、キャッシュによる配信の最適化やコスト削減ができるだけでなく、DDoSなど一般的な攻撃を遮断できるAWS WAFやAWS Shieldといったセキュリティサービスと簡単に連携できるというメリットもあります。

事故例

公開されたS3バケットに個人情報などの機密情報があると、流出の事故が起こりえます。免許証などといった機密性の高い情報が悪意のある攻撃者によって漏えいしてしまうようなインシデントが発生する可能性があります。

第3位：IAMにおける利用を終了したアクセスキー

なぜ危険なのか？

長期に渡って利用されていないアクセスキーが残り続けると漏えいリスクが高まります。アクセスキーが漏えいすることで、AWSアカウントが不正に操作されてしまうリスクがあります。権限が弱い場合は影響が限定的ですが、強い権限のアクセスキーの場合は、AWS上にある機密情報の漏えいの可能性や、不正にインスタンスを建てられて法外な請求をされる可能性につながります。また、退職者が退職後もアクセスできる状態で放置されている可能性があるので、情報漏えいリスクになり得ます。

事故例

個人情報が流出したり、不正にEC2インスタンスが建てられてビットコインのマイニングをされ法外な請求がきたり、といった事故につながります。

いかがでしょうか？これらのリスク項目は比較的有名ではありますが、気づかないうちに発生していることも多く、検証用に作成して以来放置されていたリソースや、退職者が管理していたリソースにおいて発見されるケースも頻発しています。

サービス運営者は、AWS内にこのようなリスクがないかを常に把握し、迅速に修正する必要があります。一方で、事故につながる危険なリスク項目は上記のTOP3以外にも数百種類存在します。すべてを手動で確認するには膨大な工数が必要であり、網羅性・正確性にも欠けることから、多くの企業では自社のクラウドのセキュリティ状態を把握しきれていない現状にあります。

CSPMである「Cloudbase」によってセキュリティリスクを5分で網羅的に診断

「Cloudbase」は、パブリッククラウドにおける数百項目にも及ぶ設定ミスの洗い出し・可視化を安全に行うことができるプラットフォームです。

https://cloudbase.ink/

CSPMとはCloud Security Posture Managementの略で、パブリッククラウドの設定ミスを診断・可視化するサービスの総称です。

「CSPMとは何か？」については以下の記事をぜひ参考にしてください。

https://cloudbase.ink/posts/cspm

「Cloudbase」の主な特徴は下記の5点になります。

5分で導入可能

リソース情報の読み取り権限を持ったIAMユーザーを発行していただくだけでご利用できます。その際に、クラウド構成や設定の変更を必要としないため、企業やチームの大きさに関わらず簡単に導入することができます。

読み取り権限を持ったIAMユーザーがアクセスできるのは、クラウド構成のメタ情報のみであるため、弊社が機密情報や顧客情報を取得することは不可能です。

網羅的なスキャン

従来の手法では網羅できなかった項目まで一括で診断可能です。

本当に解決すべき、危険度の高い設定ミスにフォーカス

危険度が高い設定ミスから優先的に表示させることができるため、数百~数千に及ぶ数多くの設定ミスが検出される中で、何から解決すべきかを判断することが可能です。

定期スキャンで常に安全な状態に

毎日自動でスキャンされるため、アジャイル開発などでクラウドの設計が変わるような場合においても常にリスクを早期発見することが可能です。任意のタイミングでもスキャン可能です。

豊富なドキュメント

設定ミスがそれぞれどのようなリスクにつながるか、どのように対処すべきかといったドキュメントを用意しております。各項目の内容は平易な日本語で記載されており、非エンジニアの方でもわかりやすくなっております。