Cloud Searchの紹介
質問からインサイトまで、数秒で。
Aikido Cloud Searchにより、クラウド環境の即時可視性を獲得できます。クラウドをデータベースのように検索してください。公開されたデータベース、脆弱な仮想マシン、または過剰な権限を持つIAMロールを特定したい場合でも、Aikidoは数秒でリスクを発見する力を提供します。クエリ言語は不要で、DevOpsを待つ必要もありません。
探しているものを記述するだけで、例えば「ポート22が開いているCVE-2025-32433を持つすべてのVMsを表示してください。」のように。
「How It Works」までスクロールして技術的な詳細をご覧ください。まずは、Aikidoで何を発見できるかを見ていきましょう。
実際の動作
クラウド環境を同期すると、Aikidoはすべての資産の動的なグラフを構築します。これは、クラウドメタデータ(AWS APIから取得)とセキュリティシグナル(例:脆弱性、EOLソフトウェア、設定ミス)で強化されています。自然言語を使用して、この資産グラフをクエリできます。Aikidoは入力内容を解析し、グラフロジックに変換して、一致する資産を返します。即座に可視性を獲得し、関連資産を探索し、各リスクのコンテキストを理解し、結果の背後にある検索ロジックを検証するなど、様々なことが可能です。
Aikidoが何を明らかにできるかを見る
クエリと重要性
公開S3バケット
公開S3バケットは頻繁に設定ミスが発生し、データ漏洩や情報漏えいにつながる可能性があります。また、バケットを公開する方法も複数存在します。
EU圏外のバケット
データレジデンシー規制(例:GDPR)の遵守を支援し、機密データが許可されたリージョン外に出ないようにします。
MFAが設定されていないユーザー
多要素認証(MFA)が設定されていないアカウントは、認証情報の窃取によるアカウント乗っ取りの危険性があります。
プログラムによるアクセスを持つユーザー
APIキーを介してクラウドと対話できるユーザーを特定します。これらの認証情報は攻撃者にとって一般的な標的です。
削除保護なしのデータベース
重要なデータベースの偶発的または悪意のある削除を防止します。
ネットワーク、IAM、CVE/EOLに関するプロンプトでさらに深く掘り下げます。
管理ポートが公開されているEC2インスタンス
SSH (22) や RDP (3389) のようなインターネットに公開されたポートは、不正アクセスに対する主要な攻撃ベクトルとなります。
EC2インスタンスからのトラフィックを許可しているRDSデータベース
攻撃者がエクスプロイトできる信頼関係や横方向の移動経路の特定に役立ちます。
VPC内で実行されていないLambda関数
VPC外の関数はネットワーク制御が不足している可能性があり、機密性の高いトラフィックをパブリックインターネットに公開する可能性があります。
データベースをホストしている可能性のあるEC2インスタンス
明示的にラベル付けされていなくても、追加の保護や監視が必要となる可能性のあるデータストアの特定に役立ちます。
VPCエンドポイントへのアクセス権を持つLambda関数
VPCアクセスを持つ悪用されたLambda関数は、機密性の高い内部サービスやデータベースと連携する可能性があります。
S3バケットへのアクセス権を持つEC2インスタンス
過度に許可されたIAMロールを介した、データ流出の可能性のある経路を検出します。
ユーザーを作成できるLambda関数
ユーザー作成権限を持つ関数は、永続化や権限昇格のために悪用される可能性があります。
他のアカウントからアクセス可能なIAMロール
クロスアカウントアクセスは攻撃対象領域を拡大し、監視されていない可能性があります。
管理者権限を持つユーザー
過剰な権限を持つユーザーは、セキュリティ設定の誤りや内部脅威の主な原因となります。
過剰な権限を持つIAMロール
最小権限のベストプラクティスを超える、過剰な権限を持つロールを検出します。
CVE-2025-21613に脆弱性を持つEC2インスタンス
インフラストラクチャ内の既知の高リスク脆弱性に対する標的型修復を可能にします。
古いOSを実行しているEC2インスタンス
レガシーシステムは、重要なセキュリティパッチやサポートが不足していることが多く、リスクを高めます。
古いPythonを搭載したVM
古いランタイムは脆弱である可能性があり、最新のセキュリティライブラリと互換性がない場合があります。
重大な脆弱性を持つVM
脆弱性の深刻度に基づき、Exploitされる可能性が最も高いVMの修正を優先します。
Log4Shellに脆弱性のあるEC2インスタンス
特定の脆弱性を標的にすることで、重要なゼロデイ脆弱性を迅速かつ徹底的にパッチ適用できます。
S3バケットへのアクセス権を持ち、CVE-2025-21613に脆弱性のある公開EC2インスタンス
公開された露出 + 脆弱性 + 機密データへのアクセスという、エンドツーエンドの攻撃チェーンをモデル化します。
手動で作成されたLambda関数
手動プロビジョニングは、IaCガードレールやコンプライアンスチェックを回避する可能性があります。
管理者権限を持ち、インターネットに公開されている関数
管理者権限を持ち、インターネットに公開されているサーバーレスリソースは、権限昇格やデータ流出に悪用される可能性があります。
最もリスクの高いデータストア
Aikidoは、露出、脆弱性、特権に基づいて最もリスクの高いデータ資産を特定し、優先順位を付けた保護を可能にします。
プロンプトのベストプラクティス
1) 何でも記述する
従うべき事前定義されたプロンプト、用語、またはルールはありません。クラウド環境から確認したいことを何でも記述でき、Aikidoが何を検索し、クエリを生成する必要があるかを判断させることができます。
2) 広範囲な検出のために単一のキーワードを使用する
単一のキーワードを入力すると、Aikidoがアセット全体で広範なテキスト検索を実行します。例えば、ユーザー名を検索すると、以下が返されます:
- そのユーザー、
- そのユーザーが所属するグループ、
- タグにそのユーザーの名前が含まれるアセット、
- およびそのユーザーが言及されているポリシー。
ヒント: ユーザー名、インスタンス名、タグ値などのキーワードを使用して、関連するアセットと権限を素早く見つけることができます。例えば、「Alice」と入力すると、そのユーザーのプロファイル、所属グループ、その名前がタグ付けされたEC2インスタンス、およびそのユーザーに言及するIAMポリシーが、すべて1回の検索で表示される場合があります。
3) メモリを検索
Aikidoは過去の検索を記憶しているため、次回は結果がより速く読み込まれます。以前のクエリも簡単に再訪できます。これらはユーザーごとに、アカウント専用に保存されます。下のキータームバケットの検索履歴を参照してください。
クラウドの検索方法
1. CloudsからAssetsへ移動します。
これは統合されたクラウドインベントリビューです。必要に応じて、クラウドプロバイダー、アカウント、またはリージョンでフィルタリングしてください。
2. 目的を記述します
クラウドインベントリをクエリするには、探しているものを自然言語で記述するだけです。Aikidoはプロンプトを解釈し、1つ以上の論理的なステップに分解して、関連するアセットを取得します。Aikidoが最終出力に向けて作業を進める間、各ステップの中間結果が表示されます。
上記の例では、「S3バケットにアクセスできるEC2インスタンスを表示」というプロンプトにより、以下のプロセスがトリガーされます。
- IAMロール(インスタンスプロファイル経由)を持つEC2インスタンスを特定
- S3へのアクセス権を持つIAMロールを検索(インラインポリシーまたはアタッチされたポリシー経由)
- それらのロールにアクセスを許可するS3バケットポリシーを特定
- これらの発見を最終結果に統合します
3. 検出結果を確認します
Aikidoは、クラウド環境のコンテキストを理解し、検索に関連するすべてのアセットを表示します。Aikidoはすべてのメカニズムをチェックし、各検索で広範な側面を考慮するため、通常のCSPMをはるかに超える洞察を提供し、問題を数秒で関連付けます。
右上のExplain Resultボタンをクリックすると、ステップバイステップの内訳を表示できます。上記のプロンプトの場合、次のようになります。
4) カスタムルール、アラート、タスクを設定
任意のプロンプトをアラートとして保存します。メール、Slack、Microsoft Teams、またはその他の作業環境を通じて、環境内の変更や新たなリスクを常に把握できます。重要な条件が満たされた際にチームに即座に通知されるよう、タスクを作成し自動化します。例えば、 管理ポートでインターネットからアクセス可能なEC2インスタンス. Aikidoでは、アラートは単なるノイズではなく、チームが重視する具体的な疑問に基づいて、カスタマイズされ、実行可能になっています。
