米Googleは、Google Cloud向けセキュリティ&リスク管理プラットフォーム「Security Command Center Premium」において、侵害されたIDを検出して外部の攻撃者や悪意のある内部関係者によるリスクから保護するための新機能を、6月2日(現地時間)にリリースした。
今回、Security Command Center Premiumに導入された新たなID脅威検出機能では、プリンシパルがリソースにアクセスしようとしてポリシーに従って拒否されたときに作成されたログを分析し、異常に多い件数を探すことで、攻撃者が自身の特権を列挙しようとしたり、特権環境を探索しようとしたりしている可能性を検出する。
また、あるプリンシパルによる別のプリンシパルの権限での動作を検出し、権限管理に対する通常のアプローチなのか、サービスアカウントの偽装による権限昇格を用いた攻撃の兆候なのかの識別を行う。
さらに、定期的に使用されなくなったサービスアカウントについて注意を促すだけでなく、一定期間休止していたサービスアカウントによるアクティビティについて、ユーザーに警告するようになった。
これらの新たなID脅威検出機能では、プリンシパルが新しい地理的な場所から、または新しいクライアントライブラリを使用して、Google Cloudの設定を変更したことを識別できる。こういった動作は、必ずしもアカウント侵害の決定的な証拠とはいえないものの、アカウントの状態を調査する際には役立つ情報となる。
ほかにも、確立された動作パターンから逸脱した、過剰に許可されたアカウントの検出、サービスアカウントによる自身のIAMポリシー解決の検出、グループ内に機密特権を持つ外部メンバーが存在するかの確認、プリンシパルが匿名化プロキシからクラウド環境に変更を加えた場合の検出が可能になるなど、IDベースの脅威検出機能を強化した。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
