Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSにおける OWASP Non-Human Identities (NHI) Top10 ...
Search
平木佳介
September 17, 2025
0
74
AWSにおける OWASP Non-Human Identities (NHI) Top10 対策を考える
「クラウド食堂 #4 ~AWSカテゴリ指定LT会~」の登壇資料です
平木佳介
September 17, 2025
Tweet
Share
More Decks by 平木佳介
See All by 平木佳介
AWS Community Buildersを布教したい件について
khiraki
0
14
IAMアクセスキー漏洩について
khiraki
0
24
Organizations のポリシー使いこなしてますか? ~最新の Security Hub ポリシーを添えて~
khiraki
0
16
クラウド食堂 #2 ~AWSネタでLT会~ 登壇ネタのためにAWSの運用で地味に使えそうな ブラウザ拡張機能を作ってみた
khiraki
0
620
踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る
khiraki
1
4.8k
AWS re:Inforce 2024 re:Cap セミナー ~IAM Access Analyzerのアップデートを語ります~
khiraki
1
820
組織におけるAWSネットワーク集約王者決定戦
khiraki
1
740
速さの鍵を握る! Fastly で実現する CDN の力
khiraki
1
870
クラウドの落とし穴:AWS Backupで発生した高額請求の衝撃とその教訓
khiraki
0
6.8k
Featured
See All Featured
Facilitating Awesome Meetings
lara
56
6.6k
Making Projects Easy
brettharned
119
6.4k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
2.6k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
19
1.2k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.4k
Typedesign – Prime Four
hannesfritz
42
2.8k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Gamification - CAS2011
davidbonilla
81
5.5k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
127
53k
Optimizing for Happiness
mojombo
379
70k
Transcript
AWSにおける OWASP Non-Human Identities (NHI) Top10 対策を考える (株) サイバーセキュリティクラウド クラウドセキュリティサービス部
平木 佳介
自己紹介 ~$ whoami 平木 佳介(Hiraki Keisuke) ~$ jobs [3]+
実行中 (株)サイバーセキュリティクラウド クラウドセ キュリティサービス部 ~$ ~$ groups テクニカルアカウントマネージャー AWS Community Builder ~$ ~$ cat 平木佳介.conf | grep 趣味 趣味: 旅行(温泉)、音楽、ドライブ ~$ ~$ cat 平木佳介.conf | grep 好きなAWSサービス 好きなAWSサービス : Security Hub CSPM ~$ ~$
OWASP Non-Human Identities Top 10について
OWASPとは Open Worldwide Application Security Project の略称 ソフトウェアのセキュリティ向上を目的 とする非営利の国際コミュニティ で
世界中に展開する数百のチャプター、数万人のメンバー、そして地域および国際的な カンファレンスの開催を通じて、ソフトウェアのセキュリティ向上に取り組んでいる組織。 https://owasp.org/ https://owasp.org/www-chapter-japan/
OWASP Non-Human Identity (NHI) Top 10について Non-Human Identity (NHI)
をスコープとしたリスクをまとめた文書 Non-Human Identity (NHI)とは、 人間以外のソフトウェアエンティティ (アプリケーションやAPI、ボット等)などが保護さ れたリソースへのアクセスを許可するために使用されるアイデンティティ を指し、 • API・アクセスキー • ロール • サービスアカウント などが挙げられます。
Human Identityとの関係性 Human Identity Non-Human Identity クラウド、アプリケーション ユーザー/パスワード 証明書 APIキー
トークン 操作に人間が 介在しない
なぜNHIのセキュリティ対策が重要か サービス連携しやすいようにア クセスキーは緩めに 権限与えておこう 過剰な権限 IAMロールを使った認証だとア プリを対応させられないからア クセスキーを使おう 長期認証情報の不要な使用
ローテーションは仕様的に めんどくさいからそのままキー を使い続けよう 資格情報の不適切な管理 サービス同士の連携箇所だし 監視は簡易でいいだろ 監視不足
各リスクにおける AWS環境での対策を爆速で解説
OWASP Non-Human Identities Top 10 2025 • NHI1:2025 不適切なオフボーディン •
NHI2:2025 秘密情報の漏洩 • NHI3:2025 脆弱なサードパーティのNHI • NHI4:2025 安全でない認証 • NHI5:2025 過剰な権限が付与されたNHI • NHI6:2025 クラウド環境の設定不備 • NHI7:2025 長期保存される機密情報 • NHI8:2025 環境分離 • NHI9:2025 NHIの再利用 • NHI10:2025 NHIの人的利用
NHI1:2025 不適切なオフボーディング 不要になったサービスアカウントなどのIDを 適切に削除しない ことで、 攻撃者がシステムに不正アクセスするリスクが高まります。 AWSでできる対策 •
Configルール を活用したコンプライアンスチェック ◦ 90日以上利用実績のないアクセスキーを自 動削除 • GuardDuty によるふるまい検知 ◦ CloudTrailで監査ログを記録し、GuardDuty にて異常なアクセスがないか監視が可能 CRITICAL
NHI2:2025 秘密情報の漏洩 APIキーや暗号化キーなど機密性の高い NHIが承認されていないデータストアに流出 するセキュリティインシデン ト AWSでできる対策 • Secrets
Manager やSSMパラメータストア を活用 したクレデンシャルの管理 ◦ 暗号化されたデータストアにクレデンシャル を管理することで安全に管理可能 • IAMロールなどの一時的な認証情報の活用 ◦ IAMロールやIAM Roles Anywhereなど長期 的な認証情報の利用を避けることで認証情 報の漏えいリスクを軽減可能 CRITICAL
NHI3:2025 脆弱なサードパーティのNHI サードパーティ製のNHIは、開発環境やSaaSを通して広く使われています。これらの拡張機能やサービスが攻撃さ れると、ID情報が盗まれ たり、許可された権限を悪用 されたりするリスクがあります。 AWSでできる対策 •
信頼のおけるサードパーティ の選択 ◦ AWS Marketplaceで提供されるソリューショ ンなど、信頼できるサードパーティ製ツール を選択 • GuardDuty を活用したふるまい検知 ◦ AWS環境におけるログやAPI記録を継続的 に監視し異常なアクティビティを検知 CRITICAL
NHI4:2025 安全でない認証 アプリケーションに様々なサービスを統合する際に、 認証方法 がすでに非推奨であったり、既知の攻撃に弱かっ たりするもので実装してしまうことで、組織が大きなリスクにさらされることになります。 AWSでできる対策 •
Cognito を活用した認証や認可の実装 ◦ OAuth、OIDCを活用した認証と認可の実装 をスケーラブルに可能 • GuardDuty を活用したふるまい検知 ◦ AWS環境におけるログやAPI記録を継続的 に監視し異常なアクティビティを検知 CRITICAL
NHI5:2025 過剰な権限が付与されたNHI NHIに必要以上の権限 を与えてしまうことがあります。過剰な権限を持つIDが何らかの理由で悪用されると、攻撃 者はその権限を使ってシステムに不正アクセスするリスクが高まります。 AWSでできる対策 • SCPやPermissions
Boundary を活用した予防的 ガードレール の実装 ◦ 組織レベルで拒否ポリシーを実装すること で厳格なアクセス制御が可能 • Just-in-time(JIT)アクセスの実装 ◦ 一時的な権限昇格を可能とする 特権管理ソ リューション を実装することで特定の時間内 のみ特権を与えることが可能 CRITICAL
NHI6:2025 クラウド環境の設定不備 CI/CDアプリケーションとクラウド環境との認証を行う際に使用される静的認証情報がコードリポジトリなどで意図 せず公開されると、攻撃者に永続的なアクセス権を与える可能性があります。 AWSでできる対策 • OIDC を使用したAWSとの接続
◦ GitHub ActionsなどとAWSに接続する際に OIDCを活用することで 動的なトークンを活 用 • 最小権限の原則 ◦ 使用する認証情報に与える権限を必要最 低限のものに留める CRITICAL
NHI7:2025 長期保存される機密情報 有効期限が非常に長か ったり、そもそも設定されていなかったり するAPIキーやトークンなどの機密情報をが漏 洩すると、攻撃者は時間制限なくサービスにアクセスできてしまうため、大きなリスクとなります。 AWSでできる対策 •
自動のキーローテーション を行う ◦ Configを活用することでキーの有効期限の 管理やSecretss Managerを活用することで 自動のローテーションが実装可能 • アクセスキーの廃止 ◦ IAMロールのような一時的な認証情報に切 り替えることで自動でローテーションされた 仕組みを活用可能 CRITICAL
NHI8:2025 環境分離 開発、テスト、本番など、 異なる環境 で同じNHI を使い回すと、セキュリティ上の脆弱性が生じる可能性がありま す。 AWSでできる対策 •
OrganizationsのOUを活用した環境分離 ◦ 環境毎にリソースを明確に分離 することで 影響範囲を限定的なものに留められます • 環境毎のNHIの割り当て ◦ 環境固有のNHIを割り当て、アクセス権限を 環境固有で管理 することで再利用できない 運用を行います MEDIUM
NHI9:2025 NHIの再利用 アプリケーションやサービス間で 同じNHIを使い回す と、そのIDが一つでも漏洩した場合、他のシステムへの不正 アクセスを許すリスクがあります。 AWSでできる対策 •
OrganizationsのOUを活用したプロダクト分離 ◦ システム毎にリソースを明確に分離 するこ とで影響範囲を限定的なものに留められま す • システム毎のNHIの割り当て ◦ システム固有のNHIを割り当て、アクセス権 限をシステム固有で管理 することで再利用 できない運用を行います LOW
NHI10:2025 NHIの人的利用 人間が行うべき手動のタスクにNHIを誤って使用 することがあり、IDに必要以上の権限を与えたり、人間とNHIの 区別がなくなり、監査や責任追及が困難になるため、セキュリティ上の大きなリスクとなります。 AWSでできる対策 • CloudTrailを活用した
NHI アクティビティの監査と 監視 ◦ インタラクティブなユーザー専用のユーザー とシステム専用のユーザーを明確に分ける ことで、操作ログ(CloudTrail)で誰が何をし たか追跡可能になり、説明責任が確保され る LOW
おわりに
まとめ AIエージェントの普及 により、より一層人間以外のアイデンティティに対する適切なセ キュリティ対策が求められます。 公開されているドキュメントを参考にNHIに対するセキュリティ上の課題を意識していた だけると嬉しいです。 参考URL: https://owasp.org/www-project-non-human-identities-top-10/2025/
ご清聴ありがとうございました!