Security Command Center Premium で ID を保護する新手法の紹介

※この投稿は米国時間 2023 年 6 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。

データセンターで ID の管理とセキュリティ保護に数十年携わってきたセキュリティと IT の運用担当チームは、パブリック クラウド環境で ID の不正使用を検出する際に新たな課題に直面しています。脅威ランドスケープを考慮すると、鍵の漏洩、複雑な承認システムでの権限昇格、および内部脅威からクラウド サービス アカウントを保護することは重要なタスクです。

Google Cloud 向けのセキュリティ管理とリスク管理の組み込みソリューション、Security Command Center Premium では、ID 漏洩を検出し、外部攻撃者と悪意のある内部関係者からアカウントを保護する新たな機能がリリースされました。

ID のセキュリティが複雑になる理由

Google Cloud には、ID の管理に使用するプリンシパルとして次の 3 種類があります。

• Google アカウント: Google Cloud の人間のエンドユーザー

• サービス アカウント: アプリケーションとワークロードからリソースにアクセスするために使用するアカウント。

• グループ: 複数の Google アカウントまたはサービス アカウントをまとめたもの。  

プリンシパルが定義されたあと、Google Cloud リソースにアクセスするための適切な権限を、IT チームがそのプリンシパルに割り当てる必要があります。権限は、どのリソースにアクセスできるかを管理するロールに基づいて割り当てます。クラウド環境によっては、あるプリンシパルが他のプリンシパルの権限を正当に使用することが合理的な場合もあります。これを、サービス アカウントの権限借用といいます。

グループを使用することで、ID の管理がかえって複雑になることがあります。たとえば、グループには組織の内部のユーザーと外部のユーザーを含めることができます。さらにグループには、組織外部のユーザーからなるグループを含む他のグループを含めることが可能です。

このフレームワークを使うことで、クラウドの ID とリソースを柔軟かつ効率的に管理できる一方、特に大規模に運用する場合、管理が複雑になる可能性があり、リスクの原因となりえます。

クラウドで ID の脅威を検出することの重要性

Google Cloud のプロジェクト、フォルダ、組織で、各プリンシパルがデータにどのようにアクセスできるか、新しい Compute インスタンスをどのように作成できるか、セキュリティ設定をどのように変更できるかを、Identity and Access Management（IAM）ポリシーで管理します。Security Command Center Premium では、プリンシパルによる IAM ポリシーの変更と IAM ポリシーに対する行動にリスクがあり、アカウント乗っ取りの兆候があることを検出できます。この検出は、当初の認証情報へのアクセスと検出から、権限昇格、攻撃者の永続性に至る攻撃過程のすべての段階を対象としています。

Security Command Center Premium は、Google Cloud インフラストラクチャに組み込まれるように設計され、Google グループなどのコア プラットフォーム サービスに対する自社アクセス権を保有しているため、上述のような識別を伴う検出を実現できます。慎重な検討を経たセキュリティ管理とプライバシー管理の下で動作し、Google Cloud のお客様のデータの機密性を維持します。

Security Command Center Premium の新たな ID 脅威検出機能

Security Command Center Premium は、以下の状況に対する新たな検出機能を備えています。

• 過剰な回数のアクセス失敗: この検出機能では、リソースにアクセスしようとしたプリンシパルがポリシーによってアクセスを拒否された場合に作成されたログを分析します。一定の回数のアクセス拒否は正常ですが、Security Command Center では、異常にアクセス拒否が多い状況が検出の対象になります。このように異常な状況は、特権を列挙しようとする攻撃者や特権を付与された環境を探索する攻撃者の存在を示していることがあります。

• 他のサービス アカウントの異常な権限借用: サービス アカウントの権限借用により、プリンシパルは他のプリンシパルの権限を使用して行動できます。組織によっては、アカウントの権限借用が権限管理の正常な手法となっていることもありますが、Security Command Center のこの新しい検出機能は、異常に長い権限借用の連鎖の識別を目的としています。多くの場合、このような連鎖は、権限昇格を狙う攻撃者の存在を示します。

• 休眠状態になっているサービス アカウントのアクティビティ: どのようなクラウド環境でも、無秩序なサービス アカウントの広がりを管理することは困難ですが、Google Cloud では Policy Intelligence サービスが効果的です。Security Command Center では、どのサービス アカウントが日常的に使用されなくなっているかを知るための事前予防的な推奨事項が提示されるほか、相当な期間休眠状態にあるサービス アカウントによるアクティビティについてアラートが発行されるようになっています。

このような新しい検出機能は、一般的な ID 脅威に対して Security Command Center がすでに備えている防御を補強するものです。

• UEBA（ユーザーとエンティティの行動分析）での新しい地域、ユーザー エージェント、クライアント ライブラリ: Security Command Center では、Google Cloud の構成をプリンシパルが新しい地理的ロケーションから変更したこと、または新しいクライアント ライブラリを使用して変更したことを識別できます。このような状況を必ずしもアカウントの不正使用と結論できるわけではありませんが、同じプリンシパルに関連する他の検出結果との関連から、アカウントの状態をアナリストが判断するうえで効果的な予兆となります。  

• UEBA の新しい API メソッド: この Security Command Center 機能は、権限が過剰に付与されたアカウントで、確立済みの行動パターンからの逸脱を検出することを目的としています。サービス アカウントの作成後、最初の 7 日間で使用されたことがない API または API に対するメソッドがそのサービス アカウントで使用されると、この機能が動作します。

• 検出: サービス アカウントの自己調査: 人間のユーザーが、プロジェクトに取りかかる前に、必要な権限が自身にあることを確認するためにそれぞれの IAM ポリシーを検索することは普通です。それに比べると、サービス アカウントが自身の IAM ポリシーを調べることは普通の行動ではありません。サービス アカウントが自身の IAM ポリシーを調べる状況は、多くの場合、攻撃者がサービス アカウント キーを不正使用して、アカウントの権限を探し出そうと検出手法を実践している兆候です。

• 永続性: 権限付与とグループ: 攻撃者がグループにバックアップ管理者アカウントまたは隠し管理者アカウントを確立して、クラウド環境で永続性を得ようとすることがあります。Security Command Center は、グループ メンバーを自動的に検査して、機密性が高い権限を受け取っているグループに外部メンバーがいるとアラートを発行します。

• 防御の回避: 匿名化プロキシからのアクセス: Security Command Center は、プリンシパルが匿名化プロキシからクラウド環境を変更したことを検出します。TOR の exit ノードなどの匿名化プロキシからウェブを閲覧することはよくありますが、クラウド環境を管理する目的では、このようなプロキシを使用する正当な理由はほとんどありません。Security Command Center では、Google Cloud Threat Intelligence チームが定期的に更新している、匿名化プロキシのリストが使用されます。

クラウド環境を保護するには、ID ベースの脅威を検出する機能が必要です。Security Command Center は、Google Cloud のお客様のために検出機能と修復機能を継続的に強化していきます。Google Cloud コンソールで、今すぐに Security Command Center のこれらの新機能をお役立てください。