これから本格化？　アクセスキー不正使用でのランサム事案がついに国内でも発生：半径300メートルのIT

　アクセスキーはクラウドサービスにアクセスするための認証情報であり、これを使う上では必ず生成し、利用するものです。当然、管理については慎重になるべきですが、テスト環境のために作成したアクセスキーがソースコードの中に直接書かれていたり、そのソースコードを公開してしまったりという事例は多く、それがきっかけで情報漏えいやサイバー攻撃につながることもあります。

　筆者も初めてクラウドサービスをお試しで利用するとき、よく分からないまま操作をした結果、非常に強力な権限のアカウントを作ってしまった経験があります。一度作ってテストを進めてしまうとなかなかその設定を変更することがないので、恐らくこういうところからインシデントが発生するのだろうとは感じていました（その後もちろん環境ごとしっかりと削除しました）。

　今回のように、設定不備などでアクセスキーが漏えいしてしまうことを想定すると、クラウドサービスに関する運用ポリシーを作り、常に学習することが必要だと思うとともに、やはりセキュリティの基本から、もう一度考えるのが大事だと感じます。

もう一度基本に立ち返ろう　「最小特権の原則」を守る

　その基本とは、「最小特権の原則」です。これはクラウドサービスのアクセスキーもそうですが、全てのアカウントにおいて、もう一度しっかりと考えなくてはならない、ごく基本的な要素だと思っています。

　最小特権の原則は読んで字の通り、利用者が必要な権限だけを与え、不要な権限を与えないという単純な話なのですが、「言うは易し行うは難し」セキュリティの代表例かもしれません。この原則を知っていて、大事だと思っていたとしても、PCで管理者権限が付与されたアカウントを使っている方もいるでしょう。かくいう筆者もきちんと守れていない部分も多いのですが、「ClickFix」のような、マルウェアを利用者に実行させる仕組みの攻撃も、管理者権限が与えられていないアカウントであれば影響も限定的になるはずです。

　クラウドサービスでも同様で、最小特権の原則に照らしながら権限を設定するのが基本です。これに加えて、不要になったアカウントの棚卸しや、ソースコードを公開、保存する際に、アクセスキーに相当するものが含まれないかどうかを確認するプロセスも必要になるでしょう。いわゆる「特権管理」に特化したソリューションもあるので、エンジニアたちのモラルだけに頼らず、ソリューションで対応するという方法も検討する必要があるかもしれません。

　恐らくですが、この最小特権の原則を理解し、これを重視した運用を突き詰めていくと、アクセス制御が細やかになり、利用者に余計な権限が与えられていないことが担保されるように、都度権限をチェックする仕組みが作られるはずです。そのとき、ネットワークの姿は大きく変化し、内側も外側も関係なく、権限をしっかりと確認しつつ運用する形になるはずです。

懸念は「AI」？

　話をアクセスキーに戻すと、最近ではAIを活用したコーディング用のエディタが非常に注目を集めています。これまで蓄積したコードベースを基に、書くべきコードを提案してくれるためコーディングの省力化に大きく貢献してくれます。

　しかし、そうなると懸念が一つ生まれます。もしそういったAIモデル構築のために、公開されている、あるいは公開していないはずの「アクセスキーを含んだ」コードが学習されてしまうと、大変大きな問題になるはずです。AIをコーディングに活用しようとしている組織は、情報を守る手段が用意されているかどうかもしっかり確認する必要がありそうです。少し調べてみたところ、AIエディタの「Cursor」でもそういった懸念が話題になっており、実装が進められているようです。今後もこういった動きに注目ですね。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。