まず、管理者用 API の保護には IP 制限をかけることがあると思いますが、CloudFront 側にのみ IP 制限がかけられており、API Gateway 側には IP 制限がかかっていない、という不備が見られたりします。他にも、API Gateway では、API に対してオーソライザ等で認証を設けることができるんですが、その設定に不備があり一部の API についてオーソライザの設定が漏れていて、本来管理者しか呼び出せない関数が誰でも呼び出せるような状態になっているケースもあります。
あとは管理者 API の保護に Cognito のオーソライザを利用しているケースでは、先の「自己サインアップ」の問題と合わせて、攻撃者から管理者 API が利用可能になってしまうケースもあり得ます。
川口:アクセスキーとはまた別の問題ですが、リスクレベルは同じようなものを感じますね。
白木:そうですね。これまでのオンプレミスサーバー上での運用では、管理者用のサービスはネットワークへのセグメント等で保護されていたので、一般向けのサービス程にはしっかり作らなくても問題が無かったケースがありました。一方で、クラウドを利用する場合はインターネットに繋がる形になりますので、このような不備があると管理者用 API へのアクセスが可能になり、不正に利用されてしまう可能性があります。
利用者による独自ルールではなく、会社全体でクラウド利用についてポリシーを決めることが必要です。また、クラウドについての状況をキャッチアップする人材の配置や、組織づくり、制度づくりから取り組んで頂きたいですね。最近は、大企業ですと会社全体で推進や管理するために、CCoE(Cloud Center of Excellence:部門を越えてクラウド活用を推進する専門組織)を立ち上げる会社さんも多いです。クラスメソッドでは開発支援だけでなく、このような自走組織の創設支援も行っています(CCoE 構築支援の事例紹介)。
臼田:はい。もちろんアリです。そのようなご相談に対しては、権限周りをしっかりチェックさせて頂くのは勿論、「本来はこう管理すべきなんですよ」「ベストプラクティスに沿ったやり方はこうですよ」とレクチャーさせて頂いたり、更に上のレイヤーに踏み込んで、ガバナンスを効かせた全体管理の運用を、AWS IAM Access Analyzer を用いながら支援する、といったことまでしています。