242-AWS SAP AWS 「理論・実践・一問道場」資格情報の漏洩

type

status

date

slug

summary

理論

シークレットアクセスキーやアクセスキーIDは、セキュリティ上重要な情報であり、ソースコードにハードコーディングすることは危険です。これが漏洩すると、悪用されるリスクが高まります。

CodeCommitは、AWSのGitリポジトリサービスで、コードの管理に使用されます。セキュリティポリシーに基づいて、コードのコミットやプッシュ時にLambda関数をトリガーして、コミット内容をスキャンし、脆弱性（例えば、資格情報の漏洩）を検出することが可能です。

Lambda関数は、サーバーレスでコードを実行できるAWSのサービスです。CodeCommitでコードが更新されるとLambda関数が自動的に実行され、コードの内容をリアルタイムでチェックして、問題があれば即座に対応します。

自動化されたセキュリティチェックとアラートシステムを実装することで、手動での対応を最小限に抑え、迅速に脅威を検出し、対策を講じることができます。これにより、セキュリティ運用の負担が軽減され、リスクが減少します。

略

トピック 1

監査中に、セキュリティチームは開発チームがIAMユーザーのシークレットアクセスキーをコード内に埋め込み、そのコードをAWS CodeCommitリポジトリにコミットしていることを発見しました。セキュリティチームは、このセキュリティ脆弱性を自動的に発見し修正したいと考えています。

どのソリューションが、資格情報を適切に自動で保護することを保証しますか？

A. AWS Systems Manager Run Commandを使用してスクリプトを毎晩実行し、開発インスタンス内で資格情報を検索します。発見した場合は、AWS Secrets Managerを使用して資格情報を回転させます。

B. 定期的にAWS Lambda関数を使用してCodeCommitからアプリケーションコードをダウンロードし、スキャンします。資格情報が見つかった場合は、新しい資格情報を生成し、AWS KMSに保存します。

C. Amazon Macieを設定してCodeCommitリポジトリ内の資格情報をスキャンします。資格情報が見つかった場合は、AWS Lambda関数をトリガーして資格情報を無効化し、ユーザーに通知します。

D. CodeCommitトリガーを設定してAWS Lambda関数を呼び出し、新しいコードの提出を資格情報スキャンします。資格情報が見つかった場合は、AWS IAMでそれを無効化し、ユーザーに通知します。

この問題は、AWS CodeCommitリポジトリにコミットされたIAMユーザーのシークレットアクセスキーを自動的に検出し、修正するソリューションを求めています。以下に選択肢ごとの説明を示します。

A. AWS Systems Manager Run Command

B. 定期的にLambdaを実行してCodeCommitをスキャン

問題点: Lambdaのスキャンがリアルタイムではなく、資格情報がすぐに悪用されるリスクを防げません。また、KMSは資格情報を管理するための直接的なサービスではありません。

C. Amazon Macieを使用してCodeCommitをスキャン

Macieはデータの検出や機密情報の特定には有用ですが、現在のところCodeCommitリポジトリ内のスキャンを直接サポートしていません。また、Lambdaをトリガーする仕組みが明確でない点も課題です。

D. CodeCommitトリガーとLambdaを使用

CodeCommitトリガーを設定することで、新しいコードのコミットが発生した際にリアルタイムでAWS Lambdaを呼び出します。Lambdaは資格情報をスキャンし、IAMで資格情報を無効化してユーザーに通知します。

理由