「長時間変更されていない認証情報は組織にとってリスクが大きい」 （Datadog Japan シニアテクニカルエバンジェリストの荻野たいじ氏） 　米Datadogの日本法人Datadog Japanの荻野氏は、同社が先頃開いた「2024年 クラウドセキュリティの現状」と題した顧客調査レポートからクラウド環境の脆弱（ぜいじゃく）性とセキュリティリスクに関する記者説明会において上記のように述べた。調査結果によると、「46％の組織が、管理されていない有効期限の長い認証情報のユーザーを使用している」とのこと。警鐘を鳴らすべき内容だと感じたので、「明言」として取り上げた。 　会見の内容については関連記事をご覧いただくとして、ここでは荻野氏の冒頭の発言をはじめとしたサマリーの話が分かりやすかったので、以下に紹介しておこう。 　「調査では、クラウドインフラストラクチャーのセキュアな設定に関して、2023年から継続的に改善が図られていることが示されている。それでも、いくつかの重要な分野ではまだ取り組むべき課題がある。具体的には、長期間に渡って管理されていない認証情報の使用を避けること、コンピューティングおよびストレージインスタンスで最新のセキュアな設定を使用すること、特にサードパーティーのSaaS統合に関連する役割が過剰な特権を持たないようにすること、などである」 　「攻撃者は、ますますクラウドネイティブ化が進む環境に適応する技術を継続的に採用しており、さまざまなクラウドプラットフォームを標的とした新たな脅威が絶えず発生している。脅威が進化する中、クラウド環境における主なリスク要因と攻撃者の行動パターンを理解することは極めて重要である」 　「長期間有効な認証情報が主なリスク要因であることに加え、レポートでは、ほとんどのクラウドセキュリティインシデントが侵害された認証情報によって引き起こされていることが分かった。企業は自社を保護するために、最新の認証メカニズムでアイデンティティーを保護し、有効期限の短い認証情報を活用し、攻撃者が一般的に使用するAPIの変更を積極的に監視する必要がある」（図3） 　これに対し、荻野氏はDatadogができることとして、次のように説明した。 　「Datadogのクラウドセキュリティ管理は、顧客のクラウド環境内でエージェントレス技術を使用して、数分でインフラ全体の脆弱性、誤設定、アイデンティティーリスク、およびコンプライアンス違反をスキャンすることで、企業が問題に対処するのを支援する。これにより、セキュリティおよび DevOps チームは、アクティブなリスクや脅威について、より詳細かつタイムリーに可視化できるようになり、数回のクリックで修正できるようになる。『Datadog Cloud Security Management』は、可視性コンテキストを備えた統合プラットフォームに緊密に統合されており、チームはセキュリティ問題をより迅速かつ効果的に検出、優先順位付け、修正を行い、セキュリティ体制を継続的に改善することができる」 　いうまでもなく認証情報はデジタル社会の基盤となるものだけに、荻野氏のメッセージを借りてその使い方について警鐘を鳴らしておきたい。