本文の内容は、2021年10月27日にSysdig社が発表したプレスリリース(https://sysdig.com/press-releases/sysdig-addresses-risk-of-excessive-permissions-with-cloud-infrastructure-entitlements-management/)を元に日本語に翻訳・再構成した内容となっております。
約80%のユーザーが過度に寛容なポリシーを持っている場合、2分以内で緩和可能に
サンフランシスコ-2021年10月27日- Sysdig社は、Secure DevOps PlatformにCloud Infrastructure Entitlements Management(CIEM)の機能を追加したことを発表しました。ゼロトラストアプローチをとることで、お客様はクラウドの権限を即座に可視化し、コントロールすることができます。Sysdig Threat Teamの調査によると、約80%のユーザが、AWSクラウド内において管理者のフルアクセスを許可する過度に寛容なポリシーによって、過剰な権限を持っていることがわかりました。Sysdigのお客様は、過剰な権限のアクセスを2分以内に素早く修正することができます。数分で修正できるので、リスクを減らすためにこのステップを踏まないという言い訳はできません。ブログ: Sysdig Secureによるクラウド・インフラストラクチャー・エンタイトルメント・マネジメント(CIEM)
クラウドインフラにおける過剰な権限設定のリスク
Gartner®社によると、”2023年までに、セキュリティ障害の75%は、アイデンティティ、アクセス、および権限の不適切な管理に起因すると考えられ、2020年の50%から増加する “とのことです。(1) 企業がクラウドを導入する際、クラウド上のアイデンティティに付与されたアクセス権や権限を可視化し、コントロールすることに苦労しています。オンプレミス環境向けに構築された従来のアイデンティティツールでは、クラウド上のユーザーやサービス(例:AWS Lambda関数)の爆発的な増加や活動に対応することができません。これらのクラウドサービスには、機密データにアクセスするための過剰なパーミッションが設定されていることが多く、攻撃者が悪用するための無防備なエントリーポイントとなってしまいます。
「Sysdigの研究開発担当副社長であるオマー・アザリアは、「これで数分以内に、クラウド環境全体に適用すべき最小権限ポリシーを正確に把握することができます。」と申しております。多くのことが複雑になっているクラウドにおいて、これは簡単に解決できることです。なぜそれをしないのでしょうか?
CIEMでクラウドの権限管理をゼロトラストアプローチで行う
CIEMは、クラウドインフラストラクチャーのIAM(Identity and Access Management)にゼロトラストモデルを採用することを支援します。CIEMは、すべてのアクセスリスクを可視化し、迅速に修正する能力を提供します。ユーザーでもサービスでも、セキュリティチームは次のような重要な質問に答えることができます。”そのIDはどのようなアクセス権限を持っているのか?” “それらのパーミッションは使用されているか?” “過度に許可されているか?” “それは何か異常なことをしたのか?” チームは、最小特権のアクセスポリシーを実施し、必要なアクションを実行するのに十分なパーミッションを付与することができます。統合されたプラットフォームで自動的に権限を適正化
このような過剰なパーミッションは、開発者中心の既存のワークフローの中で、コードテンプレートとしてインフラで修正することができます。統合されたセキュリティプラットフォームを使用することで、ソースから本番までのループを閉じることができ、広範なクラウドセキュリティ管理の一環として、手動による手順や繰り返し発生する問題を最小限に抑えることができます。Sysdigのお客様にとってのCIEMのメリット
- すべてのクラウドアイデンティティとその権限を可視化します。Sysdigは、Lambda関数などのエフェメラルなサービスを含む、すべてのAWSユーザーとサービスのアクセス権限を包括的に把握することができます。これにより、セキュリティチームはどのクラウドアイデンティティが機密性の高いクラウドリソースにアクセスできるかを知ることができます。
- 最小限の権限を2分以内に施行します。Sysdigでは、最小特権ポリシーを適用することで、過剰なパーミッションを排除することができます。この「十分な」権限は、付与された権限と実際に使用された権限の分析に基づいて自動的に生成されます。
- コンプライアンス要件を満たすためのアクセスコントロールの監査を簡素化します。Sysdigでは、チームが定期的にアクセスレビューを行い、アクティブなユーザと非アクティブなユーザの権限と活動を評価することができます。ユーザーは、PCI、SOC2、FedRamp、ISO27001などの規格に対する特定のIAM要件を満たすことができます。アウトオブボックスのコンプライアンスポリシーとオンデマンドのレポートで時間を節約できます。また、Sysdigは、コンプライアンスの証明として、すべてのクラウド権限変更の詳細な監査証跡を提供します。
本日発表したCIEMの機能を既存の機能と組み合わせることで、Sysdigのお客様は、コンテナやクラウド環境におけるクラウドパーミッションのリスクを未然に防ぎ、脆弱性や設定ミスをスキャンし、攻撃を検知して対応することができます。
リソース
- 見る: Sysdig Secureを使って2分以内に過剰なIAMパーミッションを修復する
- ブログ :Sysdig Secureによるクラウド・インフラストラクチャー・エンタイトルメント・マネジメント(CIEM)
- Sysdig CIEM機能の詳細はこちら
[1] Gartner, “Managing Privileged Access in Cloud Infrastructure”, Paul Mezzera, 9 June 2020.
Gartner Disclaimer: GARTNERは、Gartner, Inc.および/またはその関連会社の米国および国際的な登録商標およびサービスマークであり、ここでは許可を得て使用しています。すべての権利はガートナーに帰属します。
連絡先
Amanda Smith
703-473-4051
[email protected]