クラスメソッド株式会社は12月6日、「2023年12月5日に発生した複数AWSアカウントが操作不能となった障害について」と題するお知らせを発表した。12月5日に同社サービスの一部のユーザーで発生した障害について、その事後検証(ポストモーテム)を公開したもの。
ポストモーテムを公開した理由について、同社では「透明性の確保」と「内部プロセスの改善」を挙げている。障害の原因と対処方法を公開することで透明性へのコミットメント示し、障害の分析を共有することで、内部のプロセスとシステムの改善につなげるとともに、将来的な類似の問題を防ぐことを意図しており、素晴らしい取り組みといえる。
同社におけるAWS Organizationsの運用(顧客のアカウント管理やセキュリティ等の確保のために、事前に確立した手順による運用作業)では、組織ユニット(OU:Organizational Units)やサービス制御ポリシー(SCP:Service Control Policies)の作成や修正を同社システムにより実施し、これらの修正内容はレビューおよび承認プロセスを通じて確認されている。
顧客が所有するAWS環境での作業の場合は、対応フローが定義され、手順書の作成および有識者による確認を行い、自動化も実施している。これらのプロセスは、権限分離、局所化、ワークフロー等を考慮した設計に基づいており、定期的な社内外の監査や見直しを継続的に行っているという。
しかし、今回の事象は特定の顧客向けの緊急対応により、特殊な手順での作業を実施したことから、作業上のミスが発生した。なお、本事象は外部からの攻撃や内部犯行によるものではなく、情報漏えいやシステム侵害は発生していない。
今回の障害発生に至った作業は、特定の顧客から特定AWSアカウント群を一時的に閉鎖する要望があったことに端を発している。セキュリティインシデントに対するフォレンジック調査の一環であり、同社では可能な限り早く対応する必要があると判断した。
要望には、その顧客が認識できていない外部からのアクセスやAPIによる操作を完全に止めたいという内容が含まれており、同社内で要望を満たす手段を検討した結果、対象のAWSアカウントを隔離するために新規OUを作成し、操作を禁止する(Deny *)SCPを適用することが適切だと判断した。
しかし、作成したOUを選択(画面遷移)せずに、Root OUが選択された状態でSCPをアタッチする作業を行った。作業者およびダブルチェック者が画面上で選択されているOUの確認が漏れていたため、同事象が発生したとしている。
今回の作業は通常運用と異なる特別な対応であり、フォレンジック調査に関するフローが確立されていなかったことも一因としており、今後はOUの操作において、同様の問題が決して発生しないように、Root OUへの操作ができないように権限の局所化を実施するなどの対応を行うとしている。
障害が発生したとはいえ、その経緯や原因を追及し、再発防止の施策に至るまでの情報を公開することは非常に有益と考えられる。こうした取り組みが業界に広がっていくことに期待したい。
