GMO Flatt Security株式会社は4月23日、「JAWS DAYS 2025で180人に聞いた!AWSのセキュリティ課題ランキング」を同社ブログで発表した。
池袋サンシャインシティで3月1日に開催された「JAWS DAYS 2025」は、日本全国に60以上の支部をもつAWSのユーザーグループ「JAWS-UG」が主催するもので、同社は昨年に引き続きPlatinum Supporterとして協賛し、ブース出展している。
GMO Flatt Securityのブースでは「AWSのセキュリティ課題を大調査!」という企画を実施し、182名からのセキュリティ課題が集まった。
「課題のカテゴリ」ごとにカウントしたところ、「IAM」が最多の62件で34.1%を占め、「Security Hub」「WAF」がともに14件(7.7%)で続いた。それぞれのカテゴリごとの課題の抜粋は下記の通り。
・IAM
最小権限の徹底とスピード感のどちらを取るか。ゆるい権限をつけてしまうこともしばしば
ロールやポリシーの管理が大変
ユーザー作成の最適解がわからない
GitHub Actionsの権限が強くなりすぎる
社外の開発パートナーの権限管理
・Security Hub
社内ルールに準拠させるのが難しい
通知されても、対応する人がいない
Findingを他のメンバーが見てくれない
・WAF
機能が増えすぎている
ルールの設定に知識が必要
同社では全体的にIAMに関する課題の圧倒的割合が目立ったとし、セキュリティで非常に重要な観点でありその重要性を意識している(=課題として意識しやすい)ものの、実際の運用の難易度との狭間で苦心していることがこの結果につながったと考察している。
IAMに関する課題は、「IAMポリシーの設計と最小権限の実施」「IAM Role・ポリシー・ユーザーの管理」の2つに集約されたとしている。
同社では、「IAMポリシーの設計と最小権限の実施」について、Well‑Architected Framework や各種ベストプラクティスでも繰り返し強調されるテーマで、多くの参加者が高い問題意識を抱いており、とりわけ「設計段階でつまずきやすい」「運用フェーズで徹底するのが難しい」といった声が目立ったと紹介している。また、最小権限を維持するための管理の観点として、権限の棚卸しやポリシー適用範囲の把握、乱立したポリシーの整理、ユースケースごとにロールを細分化すると運用が複雑化し、管理負荷が増大する点が課題として挙げられていたとのこと。
