Skip to main content

アカウントについて

クラウドの不正利用・不正請求,誤設定による大規模請求など,トラップがあるので,それを回避をしたい. 一歩間違えると容易に100万を超えてくるので予算の無駄遣いだけでなく,調達上の問題にも発展しかねないので要注意. 基本的にはここのセキュリティのMUSTは100%何がなんでも絶対的にやらないとダメである.

アカウントの管理方法

現代においてパスワードを紙に書いたりエクセルに書いたりスプレッドシートに書くのは御法度.暗記も愚策. パスワード管理ソフトを使うのが王道で,個人的にBitwardenがおすすめ,無料で十分運用できるが,チーム単位または研究室単位で導入できるのがベスト. セキュリティが不安ならクラウド上でなく管理サーバーを自前で用意することもできる,オープンソース製.お金払った方が楽で確実. 二要素認証は有料版 Bitwarden に入っているが,一箇所に集約するリスクが嫌だったり無料プランを使う場合はクロスプラットフォームで使えるAuthyが使い勝手良いと思う. 良くある誤解として二要素認証は単一端末や単一アプリでしか動かないと思われているが,表示されている QR code や QR コード生成に使われているデータがあれば複数人で利用可能. もちろん,二要素認証情報の共有は推奨されるべき方法ではないが,組織運用におけるマスターアカウントの管理としては必要となることもありうる. Authyが部署・部局などの制約でNGの場合はAegis Authenticatorであれば,問題ないかもしれない. Bitwardenもそうだが,オープンソースなのでソースコードを確認して自前でbuildして使えばリスクはかなり低い.

管理用メールアカウントについて

アカウントにはメールアドレスが紐付いているが,そのメールのアカウントも二要素認証していないようであれば,これも導入した方が良い. メールアカウントが乗っ取られては元も子もない. 会社・学校のメールアドレスが二要素認証アプリに対応していないのであれば,情報セキュリティ室とかに苦言を送っておく. (東大は教職員全員に二要素認証設定可能なメールアドレスが付与されている)

なぜアカウントの保護が大切か

攻撃者は基本的に攻撃対象者の個人については興味がなく,脆弱な人であれば誰でも良いと思っている. そのために常に無差別絨毯爆撃や無差別監視を通して甘そうな人を見つけては攻撃を試みているが現状. とはいえ無作為な攻撃に引っかかる人も少ないので標的型攻撃という手法を用いて,ほぼ無人で標的となった人が引っかかりそうな攻撃を仕掛けるのが主流である. 最近ではそのままランサムウェアで暗号化身代金コースが話題になることも多いが,awsのアカウントを奪取してec2上にマイニングサーバを立ち上げられているケースも少なくない. 引っかからないに越したことないが,引っかかってしまったことを前提とした保険は絶対にかけておくべきである.

アカウントを保護するのは利用者の責任で,利用者が実施している保護方法に非がある場合は, 不正アクセスでEC2上にマイニングサーバを立ち上げさせられ,高額請求となった場合の支払い義務が生じる可能性もある. (免除されるケースもあるが,利用者側に非がある場合は免除にならないこともある)

車の任意保険やシートベルト着用と似たような位置づけかもしれず,たまたま通りがかった不正アクセスにやられるかもしれないことを考えれば, それで情報流失や高額請求を防げるなら二要素認証をかけるのはかなりコストが安いといえるだろう.