日本クラウドセキュリティアライアンス(CSAJC:Cloud Security Alliance Japan Chapter:CSAジャパン)は4月28日、Cloud Security Alliance (CSA)が公開している「Defining Shadow Access: The Emerging IAM Security Challenge」の日本語訳「シャドーアクセスの定義: 新たなIAMセキュリティの課題」を公開した。
日本語版の作成は、石井英男氏、高橋久緒氏、松浦一郎氏、諸角昌宏氏の個人の無償貢献としての私的労力提供、および会員企業としての貢献により行われた。同資料は12ページのPDFファイルとして公開されており、無償でダウンロードできる。
シャドーアクセスとは、アプリケーション、ネットワーク、およびデータなどのリソースへの意図しない、あるいは望ましくないアクセスのことを指す。クラウドコンピューティング、DevOps、クラウドネイティブアーキテクチャ、およびデータ共有の発展とともに生じている新たな問題として認識が広がっている。
特にクラウドの課題として深刻度を増しており、クラウドサービスを相互に接続するアクセスと権限付与の増加から始まり、自動化されたインフラストラクチャーとソフトウェア開発とが相まって、アカウントやリソースに対する誤った、あるいは予期しない権限の付与に起因するとしている。
シャドーアクセス問題は「セキュアな出発点であったものが気づかぬうちにセキュアでないものへと変わってしまっている問題」のひとつとしている。
これらの問題は、オンボーディングやアカウント作成時などに行われる、アカウントと権限のクローンを作成する一般的な慣行と組み合わされ、真に必要とはされないアクセスを提供することによって、問題をさらに大きくしている。
資料では、シャドーアクセスの概要と、背景、要因、インパクト、結論をまとめている。
