〜ツールに自分のAWSアカウントを採点させてみたら、心が折れかけた話〜
クラウドのセキュリティ監査って、不思議なものです。
• 「ちゃんと設計したはず」
• 「IAMはそこまで酷くない」
• 「S3をPublicにしたのは“一時的”だった」
…そう信じて Scout Suite を実行するまでは。
Scout Suiteは、感情を一切持たない冷静な監査人として、静かにこう告げます。
「このクラウド環境、改善の余地がたくさんありますね。」
本記事では、Scout Suiteを使ったクラウドセキュリティ監査のやり方、
何がチェックされ、どう結果を読み、どう現実と向き合うかを解説します。
Scout Suiteとは何か?
Scout Suite は、オープンソースの マルチクラウド向けセキュリティ監査ツールです。
対応クラウド:
• AWS
• Azure
• Google Cloud Platform(GCP)
Scout Suiteは以下を行います:
• Read-only APIでクラウド資産を列挙
• 設定をセキュリティベストプラクティスと比較
• リスクのある構成を洗い出す
• 詳細なHTMLレポートを生成
一言で言うと:
言い訳を一切聞かない正直すぎる監査人
なぜScout Suiteでセキュリティ監査をするのか?
手動監査は:
• 時間がかかる
• 見落としが多い
• 人の記憶と経験に依存する
Scout Suiteを使うと:
• 数分で広範囲を可視化
• 一貫したチェック
• 再現性のある結果
• 監査・コンプライアンスの証跡になる
ただし重要なポイント:
Scout Suiteは「考える」代わりにはならない
でも「気づかせる」力は強烈
Scout Suiteは何をチェックするのか?
Scout Suiteは 脆弱性スキャンツールではありません。
見るのは 設定リスク(Misconfiguration) です。
主なチェック項目:
• IAM設定ミス
• 過剰な権限
• インターネット公開リソース
• 暗号化の欠如
• ネットワーク分離不足
• ログ・監視の欠如
つまりこう聞いてきます:
「もし攻撃者が侵入したら、ここ悪用できませんか?」
クラウドセキュリティでは、これが正解の問いです。
監査前の準備(ここをサボると地獄)
① Read-only監査用ロールを作成
AWSの場合:
• SecurityAudit マネージドポリシー
• 必要に応じて追加の参照権限
• Assume Roleを使用
管理者権限で監査は絶対NG
② 監査スコープを決める
• 単一アカウント or Organization
• 本番 / 非本番
• 対象リージョン
• 対象サービス
スコープのない監査は、ただの混乱です。
③ 関係者に通知
Read-onlyとはいえ:
• APIコールが増える
• ログが騒がしくなる
• SOCやSREから質問が来る
先に言っておきましょう。
Scout Suiteのインストール
pip install scoutsuite
または:
git clone https://github.com/nccgroup/ScoutSuite.git
cd ScoutSuite
pip install -r requirements.txt
事前に確認:
• Python 3.x
• AWS CLI設定済み
• 権限が正しいこと
監査の実行(AWS例)
基本:
scout aws
プロファイル指定:
scout aws --profile audit-profile
Assume Role:
scout aws --role-arn arn:aws:iam::123456789012:role/SecurityAuditRole
Scout Suiteは:
- リソース列挙
- 設定分析
- HTMLレポート生成
変更は一切行いません。
(精神的ダメージは別)
レポートの読み方
生成されるのは:
• JSONデータ
• インタラクティブなHTMLレポート
構成:
• サービス別(IAM / S3 / EC2 など)
• リスクカテゴリ
• 詳細説明・影響・参考情報
ここで多くのエンジニアは悟ります。
「完璧なクラウド環境など存在しない」
必ず出てくる代表的な指摘
IAM
• MFAなしユーザー
• 長期間未ローテーションのアクセスキー
• : ポリシー
• 使われていないロール
👉 身元管理はいつも一番弱い
S3
• Public Bucket
• 暗号化なし
• ログ無効
• ゆるすぎるBucket Policy
👉 「一時的」は永遠
EC2 / Network
• 0.0.0.0/0 のSG
• 開きっぱなしのSSH/RDP
• 使われていないポート
👉 FWルールは増えるだけ
ログ・監視
• CloudTrail未完全有効
• ログ集中管理なし
• 重要イベントのアラートなし
👉 気づくのは攻撃後
Severityは冷静に見る
Scout Suiteの指摘は:
• 脆弱性ではない
• リスクの可能性
優先順位の例:
- 公開リソース
- IAM関連
- ログ欠如
- 暗号化不足
- 運用上の指摘
全部を一気に直す必要はありません。
監査結果を“仕事”に変える
良い監査のゴール:
• 優先順位付き改善リスト
• 担当者の明確化
• リスク受容の整理
• 改善計画
レポートを投げて終わりは最悪です。
Scout Suiteの限界
Scout Suiteは:
• 攻撃はしない
• ランタイム検知しない
• ビジネス文脈を理解しない
• 脅威モデリングはしない
言ってくれるのは:
「ここ、危なくなり得ますよ」
判断するのは人間です。
Scout Suite活用ベストプラクティス
✔ 定期実行(四半期・監査前)
✔ レポートは安全に保管
✔ 改善の履歴を追う
✔ CSPMと併用
✔ 手動検証を忘れない
✔ 環境ごとにスコープ調整
まとめ
Scout Suiteはクラウドを守ってはくれません。
でも:
• 見えていなかったリスクを見せ
• 思い込みを壊し
• 正しい議論を始めさせてくれる
完璧を目指す必要はありません。
「どこが危ないかを、攻撃者より先に知る」
それがクラウドセキュリティ監査です。
ツールを回しましょう。
結果を読みましょう。
本当に重要なところから直しましょう。
そして――
ツールを恨まないでください。