クラウドサービスにおけるWebサービスにまつわる脆弱性 #

近年では、クラウドサービスを活用し、Webサービスを構築・提供しているという事例はもはや一般的となりました。 クラウドサービスを利用する上で注意すべき点として、利用者側がセキュリティを意識しなくても良いわけではないという点です。

クラウドサービスにおいては、「責任共有モデル」という考え方が存在します。 「責任共有モデル」とは利用者側・クラウド事業者側の間で、それぞれがサービス提供における担当範囲を明確にし、運用上の責任を共有するという考え方です。

• AWSの責任共有モデル
  https://aws.amazon.com/jp/compliance/shared-responsibility-model/

一般的な例でいえば、IaaS(Infrastructure as a Service)においてはクラウド事業者が提供するのはインフラ部分だけです。 IaaSの上に構築されるOSやミドルウェア、アプリケーション、データ等に関しては、利用者側が責任を持たなければなりません。 PaaS(Platform as a Service)であれば、インフラ・OS・ミドルウェアはクラウド事業者が提供します。 アプリケーション、データに関しては利用者側が責任を持たなければなりません。 上記のように、利用者とクラウド事業者の間で責任分担の境界線がしっかりと引かれており、利用者が責任を持つべき箇所が明確となっています。 これらの責任分界点については、クラウド事業者や提供するサービスによってそれぞれ定義が異なります。 なお、Cloud Security Alliance(CSA)からはコンテナやサーバレスアーキテクチャなどの比較的新しいサービス領域についてさらに細分化した責任共有モデルなども公開されています。

• The Evolution of Cloud Computing and the Updated Shared Responsibility
  https://cloudsecurityalliance.org/blog/2021/02/04/the-evolution-of-cloud-computing-and-the-updated-shared-responsibility/

利用者側が責任を持たなければならない範囲において、誤った実装や設定上のミスなどが存在した場合には、セキュリティ上の問題となってしまう可能性があります。 現実世界でも上記が起因となって発生したセキュリティインシデントが多数報告されています。 そのため、利用者側はこういった良くありがちなセキュリティ上の問題について理解し、正しい実装・設定や問題の発生を防止するために対策する必要があるでしょう。

本記事では、「クラウドサービスを利用して構築しているWebサービスにおける誤った実装・設定不備などを起因としたセキュリティ上の問題点」について解説しています。 以下のカテゴリごとに問題点の概要・診断する際の観点・代表的ないくつかの事例について紹介しています。

• クラウドストレージサービスにおける設定不備
• Webアプリケーションの脆弱性を利用したクラウドクレデンシャルの奪取
• FaaSにおける設定不備と脆弱性の悪用
• IDaaSの活用に起因する脆弱性とその悪用