AWSにおける OWASP Non-Human Identities (NHI) Top10 対策を考える

Transcript

1. AWSにおける OWASP Non-Human Identities (NHI) Top10 対策を考える (株) サイバーセキュリティクラウド クラウドセキュリティサービス部

   平木 佳介

2. 自己紹介 ~$ whoami
 平木 佳介（Hiraki Keisuke） 
 ~$ jobs
 [3]+

   実行中 （株）サイバーセキュリティクラウド クラウドセ キュリティサービス部
 ~$
 ~$ groups
 テクニカルアカウントマネージャー AWS Community Builder 
 ~$ 
 ~$ cat 平木佳介.conf | grep 趣味
 趣味： 旅行（温泉）、音楽、ドライブ 
 ~$ 
 ~$ cat 平木佳介.conf | grep 好きなＡＷＳサービス
 好きなＡＷＳサービス ： Security Hub CSPM 
 ~$ 
 ~$ 


3. OWASP Non-Human Identities Top 10について

4. OWASPとは
 Open Worldwide Application Security Project の略称
 ソフトウェアのセキュリティ向上を目的 とする非営利の国際コミュニティ で


   世界中に展開する数百のチャプター、数万人のメンバー、そして地域および国際的な カンファレンスの開催を通じて、ソフトウェアのセキュリティ向上に取り組んでいる組織。
 https://owasp.org/
 https://owasp.org/www-chapter-japan/


5. OWASP Non-Human Identity (NHI) Top 10について 
 Non-Human Identity (NHI)

   をスコープとしたリスクをまとめた文書
 Non-Human Identity (NHI)とは、
 人間以外のソフトウェアエンティティ （アプリケーションやAPI、ボット等）などが保護さ れたリソースへのアクセスを許可するために使用されるアイデンティティ を指し、
 • API・アクセスキー
 • ロール
 • サービスアカウント
 などが挙げられます。


6. Human Identityとの関係性
 Human Identity
 Non-Human Identity
 クラウド、アプリケーション
 ユーザー/パスワード 証明書 APIキー

   トークン 操作に人間が 介在しない 


7. なぜNHIのセキュリティ対策が重要か
 サービス連携しやすいようにア クセスキーは緩めに 
 権限与えておこう
 過剰な権限
 IAMロールを使った認証だとア プリを対応させられないからア クセスキーを使おう
 長期認証情報の不要な使用


   ローテーションは仕様的に 
 めんどくさいからそのままキー を使い続けよう
 資格情報の不適切な管理
 サービス同士の連携箇所だし 監視は簡易でいいだろ 
 監視不足


8. 各リスクにおける AWS環境での対策を爆速で解説

9. OWASP Non-Human Identities Top 10 2025
 • NHI1:2025 不適切なオフボーディン
 •

   NHI2:2025 秘密情報の漏洩
 • NHI3:2025 脆弱なサードパーティのNHI
 • NHI4:2025 安全でない認証
 • NHI5:2025 過剰な権限が付与されたNHI
 • NHI6:2025 クラウド環境の設定不備
 • NHI7:2025 長期保存される機密情報
 • NHI8:2025 環境分離
 • NHI9:2025 NHIの再利用
 • NHI10:2025 NHIの人的利用


10. NHI1:2025 不適切なオフボーディング
 不要になったサービスアカウントなどのIDを 適切に削除しない ことで、
 攻撃者がシステムに不正アクセスするリスクが高まります。 
 AWSでできる対策 
 •

    Configルール を活用したコンプライアンスチェック 
 ◦ 90日以上利用実績のないアクセスキーを自 動削除
 • GuardDuty によるふるまい検知 
 ◦ CloudTrailで監査ログを記録し、GuardDuty にて異常なアクセスがないか監視が可能 
 
 CRITICAL 


11. NHI2:2025 秘密情報の漏洩
 APIキーや暗号化キーなど機密性の高い NHIが承認されていないデータストアに流出 するセキュリティインシデン ト
 AWSでできる対策 
 • Secrets

    Manager やSSMパラメータストア を活用 したクレデンシャルの管理 
 ◦ 暗号化されたデータストアにクレデンシャル を管理することで安全に管理可能 
 • IAMロールなどの一時的な認証情報の活用 
 ◦ IAMロールやIAM Roles Anywhereなど長期 的な認証情報の利用を避けることで認証情 報の漏えいリスクを軽減可能 
 
 CRITICAL 


12. NHI3:2025 脆弱なサードパーティのNHI
 サードパーティ製のNHIは、開発環境やSaaSを通して広く使われています。これらの拡張機能やサービスが攻撃さ れると、ID情報が盗まれ たり、許可された権限を悪用 されたりするリスクがあります。 
 AWSでできる対策 
 •

    信頼のおけるサードパーティ の選択
 ◦ AWS Marketplaceで提供されるソリューショ ンなど、信頼できるサードパーティ製ツール を選択
 • GuardDuty を活用したふるまい検知 
 ◦ AWS環境におけるログやAPI記録を継続的 に監視し異常なアクティビティを検知 
 
 CRITICAL 


13. NHI4:2025 安全でない認証
 アプリケーションに様々なサービスを統合する際に、 認証方法 がすでに非推奨であったり、既知の攻撃に弱かっ たりするもので実装してしまうことで、組織が大きなリスクにさらされることになります。 
 AWSでできる対策 
 •

    Cognito を活用した認証や認可の実装 
 ◦ OAuth、OIDCを活用した認証と認可の実装 をスケーラブルに可能 
 • GuardDuty を活用したふるまい検知 
 ◦ AWS環境におけるログやAPI記録を継続的 に監視し異常なアクティビティを検知 
 
 CRITICAL 


14. NHI5:2025 過剰な権限が付与されたNHI
 NHIに必要以上の権限 を与えてしまうことがあります。過剰な権限を持つIDが何らかの理由で悪用されると、攻撃 者はその権限を使ってシステムに不正アクセスするリスクが高まります。 
 AWSでできる対策 
 • SCPやPermissions

    Boundary を活用した予防的 ガードレール の実装
 ◦ 組織レベルで拒否ポリシーを実装すること で厳格なアクセス制御が可能 
 • Just-in-time(JIT)アクセスの実装 
 ◦ 一時的な権限昇格を可能とする 特権管理ソ リューション を実装することで特定の時間内 のみ特権を与えることが可能 
 
 CRITICAL 


15. NHI6:2025 クラウド環境の設定不備
 CI/CDアプリケーションとクラウド環境との認証を行う際に使用される静的認証情報がコードリポジトリなどで意図 せず公開されると、攻撃者に永続的なアクセス権を与える可能性があります。 
 AWSでできる対策 
 • OIDC を使用したAWSとの接続

    
 ◦ GitHub ActionsなどとAWSに接続する際に OIDCを活用することで 動的なトークンを活 用
 • 最小権限の原則 
 ◦ 使用する認証情報に与える権限を必要最 低限のものに留める 
 
 CRITICAL 


16. NHI7:2025 長期保存される機密情報
 有効期限が非常に長か ったり、そもそも設定されていなかったり するAPIキーやトークンなどの機密情報をが漏 洩すると、攻撃者は時間制限なくサービスにアクセスできてしまうため、大きなリスクとなります。 
 AWSでできる対策 
 •

    自動のキーローテーション を行う
 ◦ Configを活用することでキーの有効期限の 管理やSecretss Managerを活用することで 自動のローテーションが実装可能 
 • アクセスキーの廃止 
 ◦ IAMロールのような一時的な認証情報に切 り替えることで自動でローテーションされた 仕組みを活用可能
 
 CRITICAL 


17. NHI8:2025 環境分離
 開発、テスト、本番など、 異なる環境 で同じNHI を使い回すと、セキュリティ上の脆弱性が生じる可能性がありま す。
 AWSでできる対策 
 •

    OrganizationsのOUを活用した環境分離 
 ◦ 環境毎にリソースを明確に分離 することで 影響範囲を限定的なものに留められます 
 • 環境毎のNHIの割り当て 
 ◦ 環境固有のNHIを割り当て、アクセス権限を 環境固有で管理 することで再利用できない 運用を行います
 
 MEDIUM 


18. NHI9:2025 NHIの再利用
 アプリケーションやサービス間で 同じNHIを使い回す と、そのIDが一つでも漏洩した場合、他のシステムへの不正 アクセスを許すリスクがあります。 
 AWSでできる対策 
 •

    OrganizationsのOUを活用したプロダクト分離 
 ◦ システム毎にリソースを明確に分離 するこ とで影響範囲を限定的なものに留められま す
 • システム毎のNHIの割り当て 
 ◦ システム固有のNHIを割り当て、アクセス権 限をシステム固有で管理 することで再利用 できない運用を行います 
 
 LOW


19. NHI10:2025 NHIの人的利用
 人間が行うべき手動のタスクにNHIを誤って使用 することがあり、IDに必要以上の権限を与えたり、人間とNHIの 区別がなくなり、監査や責任追及が困難になるため、セキュリティ上の大きなリスクとなります。 
 AWSでできる対策 
 • CloudTrailを活用した

    NHI アクティビティの監査と 監視
 ◦ インタラクティブなユーザー専用のユーザー とシステム専用のユーザーを明確に分ける ことで、操作ログ（CloudTrail）で誰が何をし たか追跡可能になり、説明責任が確保され る
 
 LOW


20. おわりに

21. まとめ
 AIエージェントの普及 により、より一層人間以外のアイデンティティに対する適切なセ キュリティ対策が求められます。
 公開されているドキュメントを参考にNHIに対するセキュリティ上の課題を意識していた だけると嬉しいです。
 
 参考URL：
 https://owasp.org/www-project-non-human-identities-top-10/2025/


22. ご清聴ありがとうございました！