2023年12月、システム開発を手掛けるクラスメソッドでトラブルが発生した。同社が運用管理を代行する顧客アカウントが操作不能になるというものだ。原因は権限設定の作業ミスで、ある顧客の要望に特例対応する中で発生した。同社は再発防止策をまとめ、2024年2月に対策を終えた。ユーザー企業はベンダーの運用体制にも気を配る必要がありそうだ。
「お客様のビジネスに多大な影響を及ぼした可能性があることを深く認識しており、心よりおわび申し上げます」――。
2023年12月5日、システム開発を手掛けるクラスメソッドでトラブルが発生した。同社が運用管理を代行する顧客アカウントの一部でAWS(アマゾン・ウェブ・サービス)のリソースに対する各種操作ができなくなったのだ。影響を受けたのは、AWSの導入から運用保守までを一貫して支援するクラスメソッドのサービス「クラスメソッドメンバーズ」のユーザー。同社は影響を受けた具体的なアカウント数や企業数を明らかにしていない。
原因はAWSアカウントの権限設定の作業ミスだった。設定を修正して25分後には復旧を確認したが、冒頭の通り、Webサイトで謝罪した。翌日にはトラブルの詳細な経緯と検証結果を報告した「ポストモーテム」も掲載。障害の本質的な原因は特例対応にあったとして、2つの再発防止策を策定し、2024年2月に対策を終えた。同社は1つの管理用アカウントの配下に複数企業の顧客アカウントをぶら下げていた。この構成が原因で障害時の影響範囲が拡大した面もある。
フォレンジック対応で顧客から相談
トラブルのきっかけは、顧客企業A社から寄せられた相談だった。A社でセキュリティーインシデントが発生し、そのフォレンジック調査を実施するため、外部からのアクセスやAPI(アプリケーション・プログラミング・インターフェース)による操作を完全に止めたいというものだ。AWSでは「Identity and Access Management(IAM)」というサービスを利用してアクセス権限を管理する。クラスメソッドがA社の相談に応えるために検討した方法は以下の4つだ。
(1)AWSへのログイン権限であるIAMユーザーとIAMロールに個別に制限ポリシー(Service Control Policy、SCP)を適用する、(2)IAMユーザーをグループ化してグループごとに制限ポリシーを適用する、(3)AWSのアカウントを一括管理できる「AWS Organizations」機能で個別のAWSアカウントに制限ポリシーを適用する、(4)複数のAWSアカウントをまとめたグループ「OU(Organizational Unit)」を作成して制限ポリシーを適用する――である。
A社のフォレンジック調査対象のAWSアカウントは20以上あり、それぞれに多数のIAMユーザーとIAMロールが存在していた。対象権限数が多いため、(1)は期限内に作業を完了できないと判断して採用を見送った。(2)もIAMグループ内のIAMロールに制限ポリシーを適用できないため、不採用となった。(3)も制限ポリシーの適用上限数に抵触する可能性があったため見送り、(4)の採用を決めた。
