クラウドメタデータとは？

クラウドメタデータは、クラウド環境のインフラストラクチャ、サービス、およびリソースに関する一連の情報であり、クラウドサービスプロバイダによって公開される場合があります。クラウドサービスプロバイダをご利用の場合は、クラウドセキュリティの重要な側面として、クラウドメタデータの管理およびセキュリティ確保の方法を理解することが不可欠です。通常、クラウドメタデータは機密性の高いターゲットとは考えられていませんが、セキュリティ対策が不十分な場合、攻撃者はそれを悪用して潜在的な攻撃ベクトルを特定し、組織のクラウド環境へのアクセス権を取得する可能性があります。

クラウドメタデータの基礎知識、その定義、関連するセキュリティ脅威、および保護方法について学ぶために、読み進めてください。

クラウドメタデータとは？

まず、「メタデータ」の部分を定義しましょう。メタデータとは、構成設定やファイル内で他のデータを記述する、構造化された参照情報です。

クラウドメタデータとは、クラウド内のデータに関する情報のことです。リソースの属性（名前、タイプ、作成者、作成日など）に関する詳細情報を示すラベルと考えてください。本質的には、仮想マシン、ストレージ、ネットワーク、アプリなど、クラウド環境に関する情報です。

クラウドメタデータは、クラウドサービスプロバイダーがサービスの維持、整理、およびクライアントへの提供を支援する上で重要な役割を果たします。Dropbox や Google Drive などのクラウドストレージプロバイダーにファイルをアップロードすると、クラウドサービスプロバイダーは、そのファイルを後で検索してアクセスできるようにする情報を生成します。

ただし、このデータはクラウドストレージプロバイダに限定されないことにご注意ください。現在利用可能な最も人気のあるサービスには、AWS Instance Metadata Service (IMDS)、Azure Instance Metadata Service、Google Compute Engine Metadata Server、Oracle Cloud Infrastructure Metadata Service などがあります。これらのサービスは、仮想マシン、コンテナ、アプリケーション、API、その他のクラウドリソースに関する情報を提供します。

クラウドプロバイダーはメタデータをどのように活用していますか？

クラウドコンピューティングについて話すとき、私たちは本質的に、ファイルやデータを保存できる仮想空間について話しています。しかし、クラウドメタデータがクラウドコンピューティングにおいても重要な役割を果たしていることをご存知でしたか？クラウドプロバイダーは、クラウドコンピューティングをより簡単で効率的にするためにメタデータを利用しています。

まず、メタデータはクラウド内の実際のファイルとは独立して保存されている点を理解することが重要です。つまり、ユーザーが保存したファイルを識別、分類、管理するための追加情報です。クラウドのメタデータサービスには、CPU 使用率、ネットワーク設定、ホスト名、イベントなどの情報が含まれます。

クラウドプロバイダーは、このメタデータを利用してクラウドインスタンスを効果的に追跡・管理しています。メタデータを分析することで、クラウドプロバイダーはユーザーがクラウドとどのようにインタラクションしているかに関する貴重な洞察を得ることができ、これらはクラウドインフラストラクチャの最適化やユーザー体験の向上に活用できます。

クラウドメタデータサービスの例

他のクラウドコンピューティングサービスと同様に、使用するクラウドメタデータサービスの種類は、ご利用のクラウドサービスプロバイダーによって異なります。以下は、人気のあるクラウドプロバイダーの例です。

AWS インスタンスメタデータサービス (IMDS)

AWS IMDS は、EC2 インスタンスとその環境のインスタンスメタデータを取得するために使用されます。インスタンス ID、IP アドレス、セキュリティグループなどの情報を提供するために使用できる RESTful API を提供します。

たとえば、CLI 経由で簡単な HTTP リクエストを実行することにより、AWS IMDS を使用して、特定のインスタンスに関連付けられたセキュリティグループデータを取得することができます。

% curl http://169.254.169.254/latest/meta-data/security-groups


このリクエストを実行すると、たとえば、指定された EC2 インスタンスに 3 つのセキュリティグループがある場合、メタデータの出力は次のようになります。

Sg-0123456789abcdef0,sg-abcdef0123456789, sg-0123456789abcde86


上記の出力は、EC2 インスタンスに関連付けられた特定の ID を示しています。これにより、クラウド管理者はクラウドリソースのセキュリティ態勢に関する洞察を得ることができ、EC2 インスタンスへのトラフィックの入出力を許可する対象を、権限のあるユーザーに限定することができます。

Azure インスタンスメタデータサービス

Azure インスタンス メタデータ サービスは、Azure 仮想マシンが、ネットワーク構成、オペレーティング システム設定、IP アドレス、ホスト名、サブスクリプション ID、SSH 公開鍵など、自身に関するメタデータを取得できる RESTful API を提供します。

Google Compute Engine メタデータサーバー

Google Compute Engine メタデータ サーバーは、Google Cloud 仮想マシンに関するメタデータを提供します。このメタデータには、インスタンス名、IP アドレス、マシン タイプ、ネットワーク インターフェース、ディスク情報など、インスタンスに関する情報が含まれます。

Oracle Cloud Infrastructure メタデータサービス

Oracle Cloud Infrastructure Metadata Service は、Oracle Cloud Infrastructure 内のインスタンスに関するメタデータを提供します。メタデータには、インスタンス ID、コンパートメント ID、アベイラビリティ・ドメインなどの情報が含まれます。

クラウドサービスプロバイダによって公開されるメタデータにはどのようなものがありますか？

メタデータはクラウドプロバイダにとって非常に有用ですが、攻撃者によって悪用される可能性もあります。クラウドのメタデータにアクセスすることで、攻撃者はユーザーやクラウド環境に関する機密情報を収集し、標的型攻撃を仕掛けることができるようになります。

クラウドサービスプロバイダは、インスタンスメタデータ、ユーザーデータ、イベントメタデータなどのメタデータを公開しています。

• インスタンスメタデータには、インスタンス ID、タイプ、ホスト名、セキュリティグループ、ネットワーク構成など、仮想マシンインスタンスに関する情報が含まれます。インスタンスメタデータの例は、次のとおりです。

{ "accountId": "123456789012", "architecture": "x86_64", "availabilityZone": "us-west-2b", "billingProducts": null, "devpayProductCodes": null, "imageId": "ami-0c55b159cbfafe1f0", "instanceId": "i-01234567890abcdef", "instanceType": "t2.micro", "kernelId": null, "pendingTime": "2016-11-19T16:32:11Z", "privateIp": "192.0.2.10", "ramdiskId": null, "region": "us-west-2", … … " }

• イベントメタデータは、イベント（インスタンスの作成や削除など）中にクラウドインフラストラクチャによって生成されるデータです。クラウドインフラストラクチャの監査や診断に使用できます。たとえば、インスタンスのメンテナンススケジュールに関連するイベントメタデータを取得したい場合は、AWS CLI で次のコマンドを実行します。


$ aws ec2 describe-instance-metadata --metadata /meta-data/events/maintenance/scheduled/

これにより、EC2 インスタンス上のイベントメタデータを含む JSON ファイルが取得されます。

{
"scheduledEvents": [
{
"notBefore": "2023-05-06T00:00:00Z",
"description": "AWS is performing maintenance on the underlying host...",
"code": "system-reboot",
"notAfter": "2023-05-07T00:00:00Z"
}
]
}


• ユーザーデータは、インスタンスの作成プロセス中に入力された情報で、インスタンスのパーソナライズや起動プロセス中のスクリプトの実行に使用できます。
  
  

攻撃者がクラウドメタデータをどのように利用していますか？

クラウドメタデータ（IP アドレス、マシンタイプ、ユーザーアカウント情報、仮想マシン名など）は、ブルートフォース、クレデンシャルスタッフィング攻撃を実行するために必要な情報を攻撃者に提供する場合があります。

攻撃者は、採掘したメタデータを利用して、ユーザーを騙して機密情報を入力させるソーシャルエンジニアリング攻撃を作成することができます。このデータを使用することで、攻撃者は、データ侵害やその他のサイバーセキュリティの問題を引き起こす標的型攻撃を簡単に構築することができます。

クラウドメタデータのセキュリティ確保：ベストプラクティス

クラウドのメタデータは、2 つの理由からセキュリティ保護する必要があります。1 つ目は、クラウドに保存されているデータに関する重要な情報が含まれているためです。2 つ目は、メタデータを使用してクラウドベースのリソースを追跡および管理できるためです。クラウドのメタデータを保護するには、暗号化、アクセス制御（権限の制限/ポリシーの使用）、電子透かしなど、いくつかの手法を使用できます。

アクセス制御：権限の制限/ポリシーの使用

アクセス制御技術（権限の制限やポリシーの実施など）は、クラウドのメタデータを保護する 1 つの方法です。ここでは、クラウド管理者が、メタデータへのアクセス権とアクセス権を持つユーザー、およびアクセス権を持つユーザーが実行できる操作を規定するポリシーを作成します。アクセス制御により、メタデータへの不正アクセスを防止し、データ漏えいのリスクを最小限に抑えることができます。

たとえば、インスタンスメタデータのクエリをルートユーザーのみに制限する場合、EC2 インスタンスの IMDS 構成ファイルを次のように変更します。

{
"mode": "strict",
"default-credential-duration-seconds": 60,
"default-token-duration-seconds": 300,
"default-role": "aws-ec2-instance_connect",
"default-IAM-role": "aws-ec2-instance_connect",
"iam-role-endpoint": "http://169.254.169.254/latest/meta-data/iam/security-credentials/",
"logging": {
"destination": "file",
"path": "/var/log/amazon/ssm/amazon-ssm-agent.log"
},
"allowed-roles": [
{
"name": "root",
"credential-duration-seconds": 900,
"token-duration-seconds": 1800
}
]
}


暗号化を使用する

暗号化を利用することで、メタデータに保存されている重要な情報への不正アクセスを防ぐことができます。暗号化されたクラウドメタデータには、適切な権限とアクセスキーを持つユーザーのみアクセスできます。クラウドメタデータは、AES や RSA などの暗号化方式を使用して、さまざまな方法で暗号化できます。

メタデータ透かし

クラウド情報を保護するために使用できる 3 つ目の戦略は、透かし入れです。識別子を追加することで、メタデータに透かしを入れることができ、侵害や漏洩の発生源を追跡することができます。透かし入れは、メタデータへの不正アクセスを検出するのに役立ち、クラウド管理者に必要な措置を講じるためのリソースを提供します。この手法により、メタデータは発生源まで追跡できるため、攻撃者がメタデータを盗んだり悪用したりすることを思いとどまらせることができます。

結論

クラウドメタデータは、クラウドリソースの構成やステータスに関する重要な情報を含むため、クラウドコンピューティングの重要な要素です。クラウドデータは顧客とクラウドサービスプロバイダーの両方にとって貴重な情報ですが、攻撃者はこのデータを利用してクラウドサービスに不正にアクセスする可能性があります。このガイドで説明したように、企業は、クラウドインフラストラクチャのセキュリティを維持するために、暗号化、アクセス制御、および電子透かしによってメタデータを保護する必要があります。