クラウド設定ミス - クラウド設定ミス
クラウドストレージやサービスのアクセス権限・公開設定の誤りによる情報漏洩。S3 バケットの公開放置や Google Drive の共有設定ミスなど、設定一つで大規模漏洩に直結する。
概念図
実例
S3 バケットが意図せず全公開になっている例
bash
aws s3api get-bucket-acl --bucket my-bucket
→ "Grant": "AllUsers: READ" ← 全世界に公開状態Google Drive の共有設定ミスの例
bash
Google Drive → 共有設定 → 「リンクを知っている全員」
← 社外秘ファイルがリンクだけでアクセス可能よくあるクラウド設定ミス
クラウドサービスは便利ですが、設定項目が多く、1つの設定ミスが大規模な情報漏洩に直結します。
- ストレージの公開設定: AWS S3、Azure Blob Storage、Google Cloud Storage のバケットを「公開」のまま放置し、顧客データや内部資料が誰でもアクセスできる状態になる
- SaaS の共有リンク: Google Drive、Box、OneDrive で「リンクを知っている全員がアクセス可能」に設定し、社外秘ファイルが外部に流出する
- IAM 権限の過剰付与: 管理者権限を安易に付与し、本来アクセス不要なリソースにまで権限が及ぶ
- セキュリティグループの設定ミス: 0.0.0.0/0 で全ポートを開放し、データベースやサーバーがインターネットに直接露出する
- ログの無効化・未設定: CloudTrail や監査ログを有効にしておらず、不正アクセスを検知できない
防止策
設定ミスは「知らなかった」「確認しなかった」が原因であることが多く、自動化と定期監査が有効です。
- CSPM(Cloud Security Posture Management)の導入: AWS Security Hub、Azure Security Center、Google Security Command Center などで設定の逸脱を自動検出する
- IaC(Infrastructure as Code): Terraform や AWS CDK でインフラを定義し、レビュー可能・再現可能な状態にする。手動設定を最小化する
- 最小権限の原則: IAM ポリシーは必要最低限の権限のみ付与する。定期的に未使用権限を棚卸しする
- パブリックアクセスのブロック: S3 の「パブリックアクセスブロック」のように、アカウントレベルで公開を制限する設定を有効にする
- 定期的な設定監査: CIS Benchmarks に基づくチェックを定期的に実施する
- 変更通知の設定: 重要な設定変更があった場合に Slack や メールで通知を受け取る
実際の事例と被害
クラウド設定ミスによる大規模な情報漏洩事故は後を絶ちません。
- Capital One 事件(2019年): AWS の WAF 設定ミスを突かれ、約 1 億人の個人情報が流出。罰金 8,000 万ドル
- 米国防総省(2017年): S3 バケットの公開設定ミスにより、機密を含む大量のデータが公開状態に
- 各種企業の S3 漏洩: 設定ミスによる S3 バケットからの情報漏洩は毎年のように報告されている
共通するのは、攻撃者が高度な技術を使ったのではなく、単に公開状態のリソースにアクセスしただけという点です。