Finders Keypers: Open-source AWS KMS key usage finder
2025/03/24 HelpNetSecurity — Finders Keypers は、AWS KMS キーに関する、カレントの使用状況を分析するための OSS ツールである。AWS カスタマー管理の KMS キーと、AWS 管理の KMS キーをサポートする。
使用例には、以下のものが含まれる:
- 特定の KMS キーおよびリソースが影響を及ぼす範囲として、S3 データおよび、RDS/DynamoDB データベースなどを特定する。
- 暗号化アクセス制御を評価して、データとリソースにアクセスできるプリンシパルを特定する。
- キーに関するローテーション/更新/廃止/削除などの、キー・ライフサイクル管理の影響を評価する。
- 潜在的なキーの使用状況とアクセスを分析することで、監査とコンプライアンスの取り組みをサポートする。
- 新しいリソースの作成と暗号化コンフィグに関する、デフォルトの AWS 設定を確認する。
Fog Security の創設者である Jason Kao は、「AWS KMS を用いる AWS の、クラウド暗号化を調査しているときに、AWS KMS 暗号化キーの使用と、AWS の複数リソースのデータ・セキュリティに与える影響についての可視性という、大きなギャップに気付いた。1つのユースケースとして、KMS キーが侵害された場合を想定すると、キーのローテーションとポリシーの変更が必要になるだろう。そかし、それらが変更されても、アクティブなリソースにより使用されると、ダウンストリームに重大な影響が及ぶ可能性があり、データ損失につながる恐れが生じてくる」と、Help Net Security に語っている。
Jason Kao は、「AWS が推奨する、KMS キーの使用状況の追跡方法である、キーのアクセス許可の確認や、CloudTrail ログの確認などには制限がある。CloudTrail に関して言えば、履歴は 90日間しか保持されず、アクセス許可が示すのはアクセスが可能なプリンシパルだけであり、データ・リソースとキーとの間の直接リンクは示さない。しかし、当社のアプローチは異なる。各 AWS サービスと、そのリソースを分析して、アクティブな KMS キーの使用状況をマッピングすることで、実際の影響範囲を詳細まで把握できる」と加えている。
Finders Keypers は、AWS におけるコンピューティング/データベース・サービス/分析サービス/ストレージ/シークレット/コンフィグの管理などの、使用頻度の高い領域に重点を置くものであり、21種類の AWS サービスで、28 種類のリソース・タイプをサポートする。それぞれのサービスとリソースには、独自のセキュリティとアクセス制御の要件を反映するため、個別の API 呼び出しと IAM 権限が必要になる場合がある。
今後の計画とダウンロード
Jason Kao は、「今後のバージョンでは、Finders Keypers のカバレッジの拡大を継続していく予定である。また、クラウド・ランサムウェア防止と、暗号化管理の分野でも、拡張していく予定だ。具体的には、データ・セキュリティ/ランサムウェアに対するデータの保護状況/などデータへのアクセス/データの暗号化の方法を、ユーザーが理解する際に役立つツールとなる」と述べている。
Finders Keypers は、GitHub から無料で入手できる。
クラウド環境の拡大とともに、セキュリティ・リスクが増え続けていく中で、Finders Keypers のような可視化ツールは、現場レベルでは本当にありがたい存在だと感じます。今後のバージョンでも、機能の拡張が予定されているとのことで、楽しみですね。よろしければ、カテゴリ SecTools も、ご利用下さい。
IoT OT Security News 
You must be logged in to post a comment.