あたたた。
いま、勢いよく、組織内のリソースをクラウドへシフトしつつあります。
コロナ禍のため、その動機は十分すぎるほど。
AWSだの、Azureだの、GCPだの、、やっぱり国産だの。。
でもどんなところにおいてもセキュリティをきちんと押さえておかないと、えらい目にあいます。
Twilio: Someone waltzed into our unsecured AWS S3 silo, added dodgy code to our JavaScript SDK for customers
SMSとかを使ったシステムの裏でTwillioが動いている可能性は日本でもあります。結構実装が簡単なので。。。
困ったことに、顧客向けJavaScript SDKのソースコードを保管しているAWS S3バケットのセキュリティが適切ではなく、簡単に見れるようになっていたことによって、ソースコードを改ざんされていたことが判明しました。
これもS3バケット・・・
クラウド上でシステムを構築する際には、クラウドの特性を考えてそれぞれのインスタンスをセキュアにする必要があります。
単に「インスタンスを立ち上げて、使えればいいや」では、簡単にハックされます。
最初はまだ慎重に展開すると思いますのでいいのですが、徐々にシステムの規模が大きくなったり、開発プロジェクトが増えたりしていくうちに隙間ができてしまうことがあります。
いくつもの開発プロジェクトが走る、何が何だかわからない。だれがこのインスタンスを立ち上げたのか?とか、スケールアウトのスクリプト勝手に作って会ったり。。
開発ルールを策定しても、ずっと守れるものか?疑問がでてきます。
セキュアなクラウドリソースの構築を支援するツールは出てきていますので、そのようなツールを活用しながら、セキュアにしていくのが現実的かと思います。開発からリリースまで、いわゆる上流から下流にかけて、すべてのリソースをセキュアにしていくことが望まれます。開発段階の場合が一番セキュリティに甘くなる傾向があります。Webアプリを開発する方は、クラウド利用のセキュリティにも注意しましょう。
今回は、ユーザのアクティビティをトレースするようなものだけで、マルウエアを仕込むとか悪質なソースが埋め込まれていませんでしたので、幾分ラッキーかと思います。