はじめに
Prisma Cloudでは月に一回アップデートがあります。
内容としては新機能のリリース情報やUI変更のお知らせからAPIの更新情報など多岐にわたりますが、今回は2025年5月に検知条件に更新のあった重要度の高い監視ポリシーが1件あったのでその内容を解説したいと思います。
ちなみにPrisma Cloudのアップデート情報はPalo Alto社のこちらのサイトからご覧いただけます。
検知条件に更新のあった監視ポリシー
AWS Cognito service role with wide privileges does not validate authentication
このポリシーは、AWS Cognito サービスロールにおいて、広範な権限を持ちながら認証の検証が行われていない状況を検出します。具体的には、過剰な権限(例えば、アクションやリソースに対する’*’ワイルドカードの使用)が設定されているロールが、認証方法(’amr’フィールド)を適切に検証していない場合を対象としています。
このような設定は、未認証のユーザーが有効なトークンを使用してそのロールを引き受けることを可能にし、不正アクセスのリスクとなります。
| 項目 | 内容 |
| ポリシータイプ | Config |
| ポリシーの重要度 | High |
| 望ましい状態 | AWS Cognito サービスロールは、最小権限の原則に従い、認証を適切に検証し、定期的に権限をレビュー・更新することが望ましいです。 |
| 変更点 | インラインポリシーのActionが完全にワイルドカード(*)である場合もフィルタリング条件に含めています。つまり、インラインポリシーが特定のアクションに制限されていない場合(すべてのアクションを許可する場合)も検出対象としています。 |
まとめ
今回はPrisma Cloudで2025年5月に検知条件に更新のあった重要度の高い監視ポリシーを解説しました。
Prisma Cloudは定期的にポリシーが更新されます。どのようなポリシーで監視しているかを把握することはセキュリティ管理の観点から非常に重要だと思います。追加ポリシーについては今後も記事で紹介していく予定です。
この記事が、ご自身またはご自身の職場のクラウド環境のセキュリティリスクを見直すきっかけになれば幸いです。
また、当社では、Prisma Cloudを利用して複数クラウド環境の設定状況を自動でチェックし、設定ミスやコンプライアンス違反、異常行動などのリスクを診断するCSPMソリューションを販売しております。ご興味のある方はお気軽にお問い合わせください。リンクはこちら↓
