0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@dev_sec_mu

Security Misconfiguration(セキュリティ設定ミス)

0
Posted at

OWASP Security Misconfiguration

〜「とりあえず緩くした設定」が本番に残る理由〜

はじめに(あるある)

  • IAMポリシー、何を許可すればいいのか分からない
  • エラーが出る → とりあえず全許可にしたら動いた
  • 障害対応で一時的に制限を外した
  • 「後で戻そう」と思ったまま本番リリース

もし一つでも心当たりがあれば、
それは Security Misconfiguration が発生する典型パターンです。

Security Misconfiguration(セキュリティ設定ミス)は
OWASP Top 10 に含まれる、非常に現実的で、そして起きやすい脆弱性です。

本記事では
どんな設定が、どんな理由で“緩くなりがち”なのか
を、実務の「あるある」ベースで整理します。

Security Misconfiguration とは

OWASPの定義を噛み砕くと、以下のようになります。

アプリケーション、サーバ、フレームワーク、クラウド環境などにおいて
不要・過剰・不適切な設定が有効になっていることで生じる脆弱性

重要なのは、
設定としては正常に動いている
しかしセキュリティ的には危険
という状態である点です。

なぜ「権限を緩くする」設定が生まれるのか

多くの Security Misconfiguration は、
悪意ではなく、以下のような自然な判断から生まれます。

  • まずは動かしたい
  • 原因を早く切り分けたい
  • 正解の設定が分からない

問題は、
一時的な判断が、そのまま恒久設定になることです。

具体例①:IAMポリシーが「とりあえず全許可」

よくある状況

クラウドを触り始めた頃、こう思ったことはないでしょうか。

「このサービス、どの権限を付ければいいのか分からない…」

設定ミスの例

{
  "Effect": "Allow",
  "Action": "*",
  "Resource": "*"
}

なぜこうなるか

  • 必要なアクションが分からない
  • 権限エラーの原因調査が大変
  • 動作確認を優先したい

結果として、
一時的に管理者権限を付与してしまいます。

何が問題か

  • 侵害時の被害範囲が最大化
  • 本来不要な操作まで可能
  • 「後で絞る」が実行されない

「とりあえず全許可」は、だいたいそのまま残ります。

具体例②:S3 / Blob を一時的に Public にする

よくある状況

  • フロントエンドから直接ファイルを確認したい
  • 認証やCORS設定がまだできていない
  • 一旦公開した方が楽

設定ミスの例

  • バケットが Public
  • GetObjectList が誰でも可能

なぜこうなるか

  • URLを叩けばすぐ確認できる
  • 実装工数が最小
  • 「後で非公開にする予定」

何が問題か

  • クローラやスキャンで簡単に発見される
  • バックアップやCSVが丸見え
  • アクセスログを見ても誰が見たか分からない

「一時的に公開」は存在しません。公開は公開です。

具体例③:障害切り分けで認可チェックを外す

よくある状況

  • 本番で 403 / 500 が発生
  • 認証が原因かロジックが原因か分からない
  • まず通して挙動を見たい

設定・実装ミスの例

  • 認可チェックをコメントアウト
  • 管理者判定を常に true にする
  • IP制限を一時的に解除

なぜこうなるか

  • 早期復旧が最優先
  • 時間的・心理的プレッシャー
  • 「あとで戻す」前提の対応

何が問題か

  • 復旧=作業完了になりがち
  • セキュリティ観点の戻し忘れ
  • 正常系として動き続ける

障害対応で入れた設定は、最も危険な設定になりやすい。

具体例④:開発用セキュリティグループを本番流用

設定ミスの例

0.0.0.0/0 → 22 (SSH)
0.0.0.0/0 → 3306 (DB)

なぜこうなるか

  • 開発環境では接続元が固定でない
  • 全開放の方が楽
  • 本番用に作り直すのを忘れる

何が問題か

  • ブルートフォース攻撃の対象になる
  • DBが直接叩かれる
  • 常時スキャンされる状態になる

使っていないポートが開いていること自体がミスです。

なぜ「一時的に緩めた設定」は戻らないのか

ここまでの例に共通しているのは:

  • 一時対応がタスク化されない
  • 設定がレビュー対象外
  • 差分が見えにくい
  • 「動いている」=問題なし、になる

つまり、
人の注意力では防げない構造になっています。

実務で意識したい対策

  • 一時的な権限変更は期限付きにする
  • 権限が広いと起動できない設計
  • 設定もレビュー対象に含める
  • 本番設定の自動チェック
  • 障害対応後の「戻し確認」をプロセス化

まとめ

Security Misconfiguration の多くは、
悪意ではなく、善意と焦りから生まれます。

しかし結果として、
「とりあえず緩くした設定」が
最も危険な設定になることがあります。

セキュリティはコードだけでなく、
設定まで含めて初めて成立するものです。

「一時的に」は、本当に一時的か。
その設定、本番に残っていませんか?

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?