IAM の誤設定(クラウド)
IAM の誤設定(クラウド) とは何ですか?
IAM の誤設定(クラウド)クラウド上の ID とアクセス管理が安全でない、もしくは過剰に許可されており、ユーザー・ロール・サービスが必要以上の操作を行える状態。
クラウド IAM の誤設定は、ポリシー・ロール・信頼関係・パーミッションバウンダリーがワークロードに必要な以上のアクセスを与えてしまったときに発生します。代表的な問題は、Action や Resource におけるワイルドカード("*")、任意のアカウントから引き受け可能なロール、長期間有効なアクセスキー、特権ユーザーに MFA がない状態、使われていないが有効なサービスアカウント、権限昇格につながる AssumeRole の連鎖などです。IAM はクラウドのコントロールプレーンであるため、たった一つの IAM ミスが、軽微なバグをアカウント完全乗っ取りや大規模情報漏えいに変えてしまいます。対策としては、最小権限設計、IAM Access Analyzer や CIEM ツール、パーミッションバウンダリー、SCP/管理グループ、STS やワークロード ID 連携による短命クレデンシャル、そして「実効権限と実利用」の継続的なモニタリングが有効です。
● 例
- 01
Action: "*" / Resource: "*" を持つ EC2 インスタンスロール。
- 02
Principal として arn:aws:iam::*:root を許可する AssumeRole 信頼ポリシー。
● よくある質問
IAM の誤設定(クラウド) とは何ですか?
クラウド上の ID とアクセス管理が安全でない、もしくは過剰に許可されており、ユーザー・ロール・サービスが必要以上の操作を行える状態。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
IAM の誤設定(クラウド) とはどういう意味ですか?
クラウド上の ID とアクセス管理が安全でない、もしくは過剰に許可されており、ユーザー・ロール・サービスが必要以上の操作を行える状態。
IAM の誤設定(クラウド) からどのように防御しますか?
IAM の誤設定(クラウド) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
IAM の誤設定(クラウド) の別名は何ですか?
一般的な別名: 過剰権限の IAM, クラウド権限の付与過剰。