「サービスアカウント」「ロール」「API」「アクセスキー」などの“非人間アイデンティティー(NHI)”に潜むセキュリティリスクTOP 10 OWASPが発表:「ユーザーアカウントとは異なる方法で管理すべき」
OWASPは、非人間アイデンティティーに関するセキュリティリスクをまとめた「Non-Human Identities Top 10」を公開した。
Webアプリケーションセキュリティなどの改善活動を推進する非営利団体「The Open Web Application Security Project」(OWASP)は2025年1月18日(米国時間)、非人間アイデンティティー(NHI:Non-Human Identities)に関するリスクをまとめた「Non-Human Identities Top 10」を公開した。
「NHIは、アプリケーション、API、bot、自動化システムなどのソフトウェアが安全なリソースにアクセスするための識別、認証、認可の手段だ。現代のソフトウェアがますます自動化され、相互接続される中で、NHIはアプリケーション開発に不可欠なものとなっている。NHIは人間と直接結び付かないため、ユーザーのアカウントとは異なる方法で管理する必要がある」と、OWASPは述べている。
OWASPは、NHIの例について次のように列挙している。
- サービスアカウント:バックエンドシステムで複数のサブシステムを接続するために使用されている
- ロール:自動化サービスがクラウドリソースにアクセスするために関連付けられている
- APIまたはアクセスキー:マイクロサービスがデータベースアプリケーションにアクセスするために使用されている
- アプリケーション:特定のタスクや機能を実行するためにサードパーティーアプリケーションが使用されている
OWASPは、企業のインシデント事例、市場調査、CVE(Common Vulnerabilities and Exposures)データベースなどを踏まえ、NHIにおける主なセキュリティリスクをランキング形式でリスト化した。
OWASPが明らかにした、NHIにおけるセキュリティリスク TOP 10は次の通り。
非人間アイデンティティーのセキュリティリスク TOP 10
(1)不適切なオフボーディング
不適切なオフボーディングとは、サービスアカウントやアクセスキーなどのNHIが不要になった際に、無効化や削除が不十分なことを指す。監視されていない、廃止されたサービスは脆弱(ぜいじゃく)なままとなる。
攻撃者はこれらのNHIを悪用し、機密性の高いシステムやデータに不正アクセスする可能性がある。
(2)シークレット情報の漏えい
ソフトウェア開発ライフサイクル全体を通じて、APIキー、トークン、暗号化キー、証明書などの機密性の高いNHIが、不適切なデータストアに漏えいするリスクがある。
漏えいの原因としては、シークレット情報がソースコードにハードコーディングされたり、プレーンテキストの構成ファイルに保存されたり、パブリックチャットアプリケーションで送信されたりする例が挙げられる。
(3)脆弱なサードパーティーのNHI
サードパーティーのNHIは、統合開発環境(IDE)やその拡張機能、サードパーティーのSaaSサービスなど、開発ワークフローに広く統合されている。もし、サードパーティーの拡張機能が脆弱性や悪意のあるアップデートにより侵害されると、資格情報の窃取や付与された権限の不正利用につながる可能性がある。
(4)不適切な認証
開発者はアプリケーションに社内と外部(サードパーティー)のサービスを統合する機会が多い。これらのサービスでは、システム内のリソースにアクセスするための認証情報を必要とする。しかし、一部の認証方法は非推奨だったり、既知の攻撃に対して脆弱であったり、古いセキュリティ慣行のために安全性が低かったりする。
安全でない、または古い認証メカニズムを使用すると、組織に重大なリスクをもたらす可能性がある。
(5)過剰な権限を持つNHI
アプリケーションの開発や保守の過程で、開発者や管理者がNHIに必要以上の権限を付与することがある。過剰な権限を与えられたNHIが、アプリケーションの脆弱性、マルウェア、その他のセキュリティ侵害などを通じて侵害されると、攻撃者はその過剰な権限を悪用することができる。
(6)不適切なクラウドデプロイメント設定
CI/CD(継続的インテグレーション/継続的デリバリー)アプリケーションは、開発者がコードのビルド、テスト、本番環境へのデプロイメントのプロセスを自動化するために利用されている。これらの統合にはクラウドサービスとの認証が必要となり、通常は静的な認証情報やOpenID Connect(OIDC)を使用する。
静的な認証情報は、コードリポジトリやログ、構成ファイルを通じて意図せず公開してしまうリスクがある。
侵害された場合、これらの認証情報により、攻撃者は本番環境に対し、持続的かつ潜在的に特権的なアクセスができるようになる。
OIDCはより安全な代替手段を提供するが、IDトークンが適切に検証されなかったり、トークンクレームに厳格な条件がなかったりすると、権限のないユーザーがこれらの弱点を悪用してアクセスする可能性がある。
(7)長期間有効なシークレット
長期間有効なシークレットとは、APIキー、トークン、暗号鍵、証明書などのシークレット情報が、適切な有効期限なしに長期間利用可能な状態にあることを指す。侵害されたシークレットが長期間有効である場合、攻撃者は時間の制約なく機密性の高いサービスにアクセスできるようになる。
(8)環境の分離不足
環境の分離は、開発、テスト、ステージング、プロダクションなどの異なる環境を使用するクラウドアプリケーションのデプロイメントにおいて重要なセキュリティ対策だ。
デプロイメントプロセスやアプリケーションのライフサイクル全体で、NHIは頻繁に利用されている。もし、開発者が複数の環境(特にテストと本番環境間)で同じNHIを再利用すると、重大なセキュリティリスクを引き起こす。
(9)NHIの再利用
同じNHIを異なるアプリケーション、サービス、またはコンポーネント間で再利用することも、重大なセキュリティリスクを引き起こす。一部の領域でNHIが侵害されると、攻撃者はそれを利用して同じ認証情報を持つ他のシステムに不正アクセスできてしまうためだ。
(10)人間によるNHIの誤用
アプリケーションの開発および保守中、開発者や管理者が、適切な権限を持つ個人のユーザーアカウントで実行すべき手作業のタスクに、NHIを使用することがある。NHIを使用することで、NHIの権限が昇格されたり、人間と自動化アクティビティーを区別できないために監査やアカウンタビリティーが欠如したりするなど、重大なセキュリティリスクを引き起こす。
「NHIの管理不足は、組織に対して重大なセキュリティリスクをもたらす。アプリケーション開発者は、NHIを巡る10のリスクを理解し、推奨されるプラクティスを適用して、NHIを保護し、脅威を軽減する必要がある」と、OWASPは述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
【Googleダークウェブレポート】自身の個人情報がダークウェブに流出していないか確認する
Microsoftアカウントなどへの不正アクセスやフィッシングメールの着信が増えたら、個人情報がダークウェブに流出した可能性がある。ただ、ダークウェブは一般的な検索エンジンなどでは見つけられないため、何が起きているのか分からない。このような場合、Googleが提供する「ダークウェブレポート」を使って、ダークウェブ上に個人情報が漏れていないかどうかを確認するとよい。その使い方を紹介しよう。
AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
Amazon Web Servicesは、セキュリティイベントを迅速かつ効果的に管理し、企業のインシデント対応を支援する「AWS Security Incident Response」を発表した。
誰とも代わることのできない“唯我独尊”であるが故に――「セキュリティのアレ」の3人は認証認可をどう見るか
2024年8月28日、アイティメディア主催セミナー「ITmedia Security Week 2024 夏」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「認証認可唯我独尊」と題して講演した。