クラウドベースの監視および分析プラットフォームであるデータドッグのセキュリティ推進責任者は、オーストラリアおよびアジア太平洋地域の企業に対し、人気のハイパースケールクラウドサービスの長期認証情報の段階的廃止を加速するよう促し、これらの認証情報は依然として深刻なデータ漏洩リスクとなっていると警告した。
TechRepublicの取材に対し、アンドリュー・クルーグ氏はDatadogの「クラウドセキュリティの現状 2024」レポートの調査結果を強調しました。このレポートでは、長期間有効な認証情報が永続的なセキュリティリスク要因であると指摘されています。クルーグ氏は、認証情報管理の実践は改善しているものの、リスク軽減に必要なほど迅速かつ効果的に進歩していないと指摘しました。
長期間有効な認証情報は依然としてクラウドセキュリティにとって大きな脅威である
このレポートによると、AWSを利用している組織のほぼ半数(46%)が、クラウド環境への人間によるアクセスをIAMユーザーに頼っていることが明らかになりました。Datadogはこれを「長期認証情報」と呼んでいます。これは、複数のシステムへのアクセス権限を付与するために集中型のID管理を使用している組織でも同様でした。
さらに、4社に1社近くが、集中型のフェデレーション認証を実装せずに、IAMユーザーのみに依存していました。Datadogによると、これは根深い問題を浮き彫りにしています。集中型のID管理が一般的になりつつある一方で、長期間有効な認証情報を持つ管理されていないユーザーが依然として重大なセキュリティリスクをもたらしているのです。
長期保存されている認証情報は、主要なクラウドプロバイダーのすべてに広く普及しており、多くの場合、期限切れまたは未使用のアクセスキーが含まれています。レポートによると、Google Cloudサービスアカウントの62%、AWS IAMユーザーの60%、Microsoft Entra IDアプリケーションの46%で、1年以上前のアクセスキーが使用されていました。
長期間有効な認証情報には、データ漏洩の重大なリスクが伴う
Datadogによると、長期間保存されるクラウド認証情報は有効期限がなく、ソースコード、コンテナイメージ、ビルドログ、アプリケーションアーティファクトなどを通じて頻繁に漏洩している。同社が実施した過去の調査では、公開されているクラウドセキュリティ侵害の最も一般的な原因がこれらであることが分かっている。
参照: 2025年のサイバーセキュリティの5大トレンド
クルーグ氏は、静的コード分析など、機密情報が本番環境に流出するのを防ぐための成熟したツールが市場に存在していると述べた。Datadogのレポートでは、AWS EC2インスタンスにおけるIMDSv2の適用増加も指摘されている。これは、認証情報の盗難を阻止するための重要なセキュリティメカニズムである。
長く使える資格は減っているが、変化は遅すぎる
AWSがIAM Identity Centreを立ち上げ、組織がAWSアプリケーションへのアクセスを一元管理できるようにするなど、この問題を軽減するための動きは既に出ています。企業がこのサービスへの移行を進めている一方で、クルーグ氏は「すべての企業がこれを最優先事項と考えているとは思えません」と述べています。
「間違いなくそうあるべきです。過去10年間のデータ侵害を振り返ると、アクセスキーペアの長期使用と、過度に許容されたアクセス権限が組み合わさって、データ侵害の根本原因となっていたことが主なテーマです」と彼は説明した。「その片方を排除できれば、ビジネスリスクは大幅に軽減されます。」
長期にわたる認証情報の問題はアジア太平洋地域に限ったものではなく、世界的な問題です。
クルーグ氏によると、アジア太平洋地域も世界の他の地域と何ら変わりはありません。特定の管轄区域において、クラウドにおける長期保存資格情報の管理を規制する規制がないため、世界中の企業は、多くの場合、複数の管轄区域にまたがって、同様のクラウドプロバイダーと類似のアプローチを採用しています。
長期間有効な認証情報からの移行を阻んでいるものは何でしょうか?
シングルサインオンと一時的な認証情報への移行に必要な労力は、これらのプラクティスの導入を遅らせています。クルーグ氏によると、開発ワークフローをシングルサインオンに移行するには、「リフト&シフト」と呼ばれる大規模な移行が必要になる場合があります。これは、必要なマインドセットの転換と、組織がチームの適応を支援するために適切なサポートとガイダンスを提供する必要があることが一因です。
しかし、3年前から提供されているAWS Identity Centreのようなツールによって、この移行はより実現可能になったと彼は指摘しました。これらのツールは、認証プロセスを合理化し、MFAサインインの繰り返しの必要性を最小限に抑え、ワークフローの効率性を維持することで、開発者の負担を軽減するように設計されています。
参照: AIがクラウド内のデータのリスクを増幅させる仕組み
「AWS Identity Centre は優れた製品であり、非常にシームレスなユーザーフローを実現しますが、人々はまだ移行の途中にあります」と Krug 氏は言います。
長期間保存される資格情報はどうすればよいでしょうか?
Datadogのレポートは、長期間有効な認証情報を安全に管理できると期待するのは非現実的であると警告しています。同社は、企業に対し、最新の認証メカニズムを備えた安全なIDを導入し、有効期間の短い認証情報を活用し、攻撃者が一般的に使用するAPIの変更を積極的に監視することを推奨しています。
「組織は、期限付きの一時的な認証情報を提供するメカニズムを活用すべきだ」と報告書は述べている。
ワークロード。Datadogによると、ワークロードに関しては、組織が主要なグローバルハイパースケーラーを使用している場合、EC2インスタンスのIAMロール、AWSのEKS Pod Identity、Microsoft AzureのマネージドID、そしてGoogle Cloudのワークロードにアタッチされたサービスアカウントでこの目的を達成できるという。
人間: 人間のユーザーの場合、Datadog は、最も効果的なソリューションは AWS IAM Identity Center、Okta、Microsoft Entra ID などのソリューションを使用して ID 管理を一元化し、従業員ごとに個別のクラウド ユーザーを使用することを避けることだと述べています。同社はこれを「非常に非効率的でリスクが高い」としています。
