Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

title: “AWS を中心としたクラウド基盤の基礎” part: “Part 6” chapter: “6-1”

AWS を中心としたクラウド基盤の基礎

本章では、クラウド Pentest の前提として、AWS を中心としたクラウド基盤の要素(IAM、VPC、S3 など)と、代表的なミスコンフィグのパターンを整理する。

本章のゴール

  • 前提:Linux の基本操作に慣れており、Web / API レイヤの代表的リスク(Part 2〜4)を把握している。
  • 到達目標:IAM / VPC / S3 / 監査ログの観点で、攻撃チェーンに影響する典型的なミスコンフィグを説明し、評価対象のアタックサーフェス(攻撃面 / Attack Surface)として整理できる。
  • 対応演習:模擬・検証環境の範囲で、公開範囲、過剰権限、ネットワーク開放、ログ・監査の状態をチェックリスト化して記録する(記録は 学習ログテンプレート(Burp Academy / 演習) を参照)。

IAM(Identity and Access Management)

IAM は AWS における認証・認可の中核であり、ユーザ、ロール、ポリシーを通じてリソースへのアクセス権限を制御する。

Pentest では、次のような観点が重要となる。

  • 最小権限原則に反するポリシー
    • AdministratorAccess 相当の広範な権限が付与されている
    • *:*(全アクション/全リソース)に近いポリシーが存在する
  • インラインポリシーや古いロールの棚卸し不足
    • すでに利用されていないロールやユーザに高権限が残存している
  • クロスアカウントのロール委任(AssumeRole
    • 第三者アカウントからの委任が適切に制限されているか

攻撃者視点では、「一度侵入した環境内でどのロールまで昇格可能か」が焦点となる。Part 6 の後半では、SSRF や IMDSv1 を経由したロール悪用シナリオを扱う。

VPC(Virtual Private Cloud)

VPC は AWS 上の仮想ネットワークであり、サブネット、ルートテーブル、インターネットゲートウェイ、NAT ゲートウェイなどの構成要素を持つ。

典型的なリスク要因は次のとおりである。

  • 公開不要なリソースがパブリックサブネットに配置されている
  • セキュリティグループやネットワーク ACL が過度に開放されている(0.0.0.0/0 向けの 22/3389 ポート開放など)
  • 内部向け管理ポートが VPN や踏み台を経由せずに直接公開されている

図6-1: VPC 内のパブリック / プライベート構成例

図6-1 は、インターネットから到達可能な領域(パブリック)と、原則として直接到達させない領域(プライベート)を分け、セキュリティグループ(SG)の入口条件も合わせて示す。なお、本章でいう「パブリック/プライベート」は便宜的な分類である。区別は、ルートテーブルがインターネットゲートウェイへ向く経路を持つかどうかで整理する。

graph LR
    IGW[Internet Gateway] --- Pub[パブリックサブネット\nWeb/アプリサーバ]
    Nat[NAT Gateway] --- Pri[プライベートサブネット\nアプリ/DB]

    Pub --- SG1[SG: 80/443(Internet から)]
    Pri --- SG2[SG: 5432(アプリから)\nInternet からは不可]

Pentest では、スコーピングと併せて、「どのサブネット/セキュリティグループがテスト対象か」「どこまで到達可能であるべきか」を明確にすることが重要である。

S3(オブジェクトストレージ)

S3 はオブジェクトストレージサービスであり、バケットポリシーや ACL の設定ミスにより情報漏えいが発生しやすいコンポーネントである。

代表的な問題には次のようなものがある。

  • 認証なしで読み取り可能なバケット(公開バケット)
  • 書き込み可能なバケット(Web シェルやスクリプトのアップロードによる悪用)
  • バケット名やオブジェクトキーに機密情報が含まれている

Pentest では、公開範囲の確認とともに、「アプリケーションからどのような権限で S3 にアクセスしているか」を把握し、アプリケーション侵害からの横展開可能性を評価する。

クラウド固有のログと監査

クラウド環境では、CloudTrail、CloudWatch Logs、Config など複数の監査・ログサービスが存在する。Pentest の観点では、次の点を確認する。

  • 管理系 API コール(IAM 変更、EC2 操作等)が CloudTrail で記録されているか
  • ログの保存期間と保護(削除・改ざんの防止)が適切か
  • セキュリティイベント(多重失敗ログイン、異常なリージョンからのアクセス等)に対する検知・アラート設計があるか

これらは直接の「脆弱性」というより、攻撃検知と対応力に関わる要素であり、総合的なリスク評価の一部として扱う。

次に読む章

本章のポイント

  • IAM はクラウドの認可の中核であり、過剰権限、棚卸し不足、外部委任の制限不備があると侵害後の権限昇格に直結する。
  • VPC とネットワーク制御では、公開不要な配置や過度な開放(0.0.0.0/0 など)がアタックサーフェスを拡大するため、到達可能性とスコープを明確にする。
  • S3 の公開・書き込み設定や監査ログ(CloudTrail 等)の整備は、情報漏えいと検知・追跡に関わるため、構成全体のリスクとして評価する。