AWS Security Checklist

AWS Security Checklistは、Amazon Web Servicesのセキュリティに関するチェックリストを提供します。

チェック対象のサービスは以下になります。

AWS Identity and Access Management (IAM)
AWS CloudTrail
AWS Security Token Service (STS)
Amazon Elastic Compute Cloud (EC2)
Amazon Virtual Private Cloud (VPC)
Amazon Elastic Block Store (EBS)
Amazon Simple Storage Service（S3）

Security Checklistはこちらからダウンロードできます。

チェック内容は以下となります。

Security Checklist - General

ASC 01 rootアカウントのアクセスキーが設定されていないこと

アラート基準：rootアカウントにアクセスキーが設定されている場合
rootアカウントは強力な権限を持ちます。rootアカウントは利用せずIAMユーザーを利用します
rootアカウントのアクセスキーを削除し、IAMユーザーを利用してください
対応手順はこちら

ASC 02 CloudTrailログ及び、請求レポートのS3バケットが公開設定となっていないこと

ASC 02-01 CloudTrailログのS3バケットが公開設定となっていないこと

アラート基準：CloudTrailログを保管しているS3バケットがパブリック公開されている場合
不特定多数が読み取れる状態になっている為、今すぐパブリック公開設定を削除してください
対応手順はこちら

ASC 02-02 請求レポートのS3バケットが公開設定となっていないこと

アラート基準：ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
ユーザー自身での確認が必要なマニュアル評価項目です
不特定多数が読み取れる状態になっている為、今すぐパブリック公開設定を削除してください
対応手順はこちら

ASC 03 全リージョンでCloudTrailが有効であること

アラート基準：CloudTrailが有効になっていないリージョンが存在する場合
CloudTrailはAWSのAPI呼び出しを記録します(IP、時刻、パラメータ)
セキュリティ分析、リソース変更追跡、コンプライアンス監査に必要です
CloudTrailを有効化してください
対応手順はこちら
参考：AWS CloudTrailに関する料金

ASC 04 管理者ロールも限定的な権限であること

アラート基準：Admin権限 ( "Effect": "Allow", "Action": "\*", "Resource": "\*" ) ポリシーが付与されている場合
IAMには最小権限を付与することで、必要なタスクのみ実行できるようになります
ユーザーが利用するサービスを確認し、必要な権限のみを付与してください
対応手順はこちら
補足情報
- 【Tips】Admin権限を持っていないIAMユーザーでIAM Roleを設定するためのポリシー設定
- [AWS]CISで語られているIAMマスターロールとIAMマネージャーロールについて整理

ASC 05 AWS Security Token Service（STS）とロールを利用すること

アラート基準：ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
ユーザー自身での確認が必要なマニュアル評価項目です
EC2からAWSリソースへのアクセスは、アクセスキーではなくIAMロールを利用することでキー漏洩時のリスクを低減できます
適切な権限を付与したIAMロールを作成し、EC2にアタッチしてください
AWS STSを使用すると、アプリケーションへ長期の認証情報を保存する必要がなく、ユーザーのリクエストに応じて、一時的に有効な認証情報が動的に生成されます
アプリケーションにセキュリティ認証情報を保存せず、AWS STSを利用してください
対応手順
- IAMロールはこちら
- AWS STSはこちら

ASC 06 毎月の請求レポートで使用状況を確認すること

アラート基準：ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
ユーザー自身での確認が必要なマニュアル評価項目です
請求レポートは、AWSの使用状況を追跡し、AWSリソース、使用タイプ、オペレーションの固有の組み合わせごとに明細項目が表示されます
請求レポートを確認しておくことで、想定外の課金を回避するために役立ちます
対応手順はこちら
クラスメソッドメンバーズご利用のお客様は、メンバーズポータルのAWSアカウントメニューを開くと請求レポートが表示されます

Security Checklist – EC2/VPC/EBS

ASC 07 暗号化されたEBSボリュームを使用すること

アラート基準：Amazon EBS 暗号化機能を使用してEBS暗号化が有効化されていない場合
インスタンスとそれに接続されたEBSストレージ間でのデータの保存と転送中のデータの両方のセキュリティが保証されます
Amazon EBS 暗号化機能を使用してEBSを暗号化をしてください
対応手順はこちら

ASC 08 利用可能な全てのリージョンにおいて、VPC Flow Logsが有効化されていること

アラート基準：VPC Flow Logsが有効化されていない場合
VPC Flow Logsは、VPC内のネットワーク通信のログを保存します
セキュリティ分析や異常な通信を調査するのに役立ちます
VPC Flow Logを有効化してください
対応手順はこちら
CloudWatch Logsは保持期間を設定しない限り、ログが無期限に保存されるため、こちらを参照し、ログの保持期間を最短365日に設定します
VPC Flow Logs(Amazon CloudWatch 供給ログ)に関する料金

ASC 09 EC2キーペアを保護すること

アラート基準：ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
ユーザー自身での確認が必要なマニュアル評価項目です
EC2キーペアを持っていればEC2インスタンスへアクセス可能な場合があります
EC2インスタンスにログインするキーペアを定期的にローテーション（削除／作成）してください
対応手順はこちら

ASC 10 EC2でのAWSリソースへのAPIアクセスはIAMインスタンスロールを利用していること

アラート基準：EC2にIAMロールがアタッチされていない場合
IAMロールでは期限付きの一時的なキーを利用します
EC2からAWSリソースへのアクセスは、アクセスキーではなくIAMロールを利用することでキー漏洩時のリスクを低減できます
適切な権限を付与したIAMロールを作成し、EC2にアタッチしてください
対応手順はこちら

ASC 11 セキュリティグループを使用してEC2の通信を制御すること

アラート基準：ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
ユーザー自身での確認が必要なマニュアル評価項目です
EC2インスタンスに対するインバウンドおよびアウトバウンドトラフィックの制御にセキュリティグループを利用してください
対応手順はこちら

Security Checklist – S3

ASC 12 パブリックアクセス可能なS3バケットを作成しないこと

アラート基準：S3バケットがパブリック公開されている場合
不特定多数が読み取れる状態になっています。意図しない場合、すぐにパブリック公開設定を削除してください
対応手順はこちら

ASC 13 サーバ側の暗号化(SSE-S3)を利用してバケットを保護すること

アラート基準：サーバ側の暗号化が有効でないバケットが存在する場合
サーバー側の暗号化(SSE-S3)では、256ビットの高度暗号化規格(AES-256)を使用してデータを暗号化します
サーバー側の暗号化(SSE-S3)を使用して、保管中のデータを保護してください
対応手順はこちら

ASC 14 S3バケットへのインバウンドおよびアウトバウンドのトラフィックを暗号化すること

アラート基準：ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
ユーザー自身での確認が必要なマニュアル評価項目です
S3バケットへのアクセスはHTTPSプロトコルを使用してアクセスしてください
静的ウェブサイトホスティング利用時は、SSL/TLSに対応してください
対応手順
- AWS のリージョンとエンドポイント
- CloudFront で S3 静的ウェブサイトホスティングを SSL/TLS に対応させる

ASC 15 S3のバージョン管理、S3のライフサイクルポリシーを理解すること

アラート基準：ユーザーによる評価が実施されていないか、前回の評価から180日経過している場合
ユーザー自身での確認が必要なマニュアル評価項目です
S3バージョニングを使用するとS3バケットに格納されたあらゆるオブジェクトのバージョンを、格納、取得、復元することができます
ライフサイクル設定を使用すると、別のストレージクラスにオブジェクトを移行することや、オブジェクトの有効期限を定義することができます
対応手順
- S3バージョニングはこちら
- AWS STSはこちら

ASC 16 S3のアクセスログを有効化すること

アラート基準：アクセスのログ記録が有効でないバケットが存在する場合
バケットへのアクセスを求めるリクエストを追跡するため、アクセスのログ記録を有効にすることができます
アクセスのログ記録を有効化してください
対応手順はこちら

チェック項目一覧（AWSセキュリティチェックリスト）

AWS Security Checklist

Security Checklist - General

ASC 01 rootアカウントのアクセスキーが設定されていないこと

ASC 02 CloudTrailログ及び、請求レポートのS3バケットが公開設定となっていないこと

ASC 02-01 CloudTrailログのS3バケットが公開設定となっていないこと

ASC 02-02 請求レポートのS3バケットが公開設定となっていないこと

ASC 03 全リージョンでCloudTrailが有効であること

ASC 04 管理者ロールも限定的な権限であること

ASC 05 AWS Security Token Service（STS）とロールを利用すること

ASC 06 毎月の請求レポートで使用状況を確認すること

Security Checklist – EC2/VPC/EBS

ASC 07 暗号化されたEBSボリュームを使用すること

ASC 08 利用可能な全てのリージョンにおいて、VPC Flow Logsが有効化されていること

ASC 09 EC2キーペアを保護すること

ASC 10 EC2でのAWSリソースへのAPIアクセスはIAMインスタンスロールを利用していること

ASC 11 セキュリティグループを使用してEC2の通信を制御すること

Security Checklist – S3

ASC 12 パブリックアクセス可能なS3バケットを作成しないこと

ASC 13 サーバ側の暗号化(SSE-S3)を利用してバケットを保護すること

ASC 14 S3バケットへのインバウンドおよびアウトバウンドのトラフィックを暗号化すること

ASC 15 S3のバージョン管理、S3のライフサイクルポリシーを理解すること

ASC 16 S3のアクセスログを有効化すること

コメント

AWS Security Checklist

Security Checklist - General

ASC 01 rootアカウントのアクセスキーが設定されていないこと

ASC 02 CloudTrailログ及び、請求レポートのS3バケットが公開設定となっていないこと

ASC 02-01 CloudTrailログのS3バケットが公開設定となっていないこと

ASC 02-02 請求レポートのS3バケットが公開設定となっていないこと

ASC 03 全リージョンでCloudTrailが有効であること

ASC 04 管理者ロールも限定的な権限であること

ASC 05 AWS Security Token Service（STS）とロールを利用すること

ASC 06 毎月の請求レポートで使用状況を確認すること

Security Checklist – EC2/VPC/EBS

ASC 07 暗号化されたEBSボリュームを使用すること

ASC 08 利用可能な全てのリージョンにおいて、VPC Flow Logsが有効化されていること

ASC 09 EC2キーペアを保護すること

ASC 10 EC2でのAWSリソースへのAPIアクセスはIAMインスタンスロールを利用していること

ASC 11 セキュリティグループを使用してEC2の通信を制御すること

Security Checklist – S3

ASC 12 パブリックアクセス可能なS3バケットを作成しないこと

ASC 13 サーバ側の暗号化(SSE-S3)を利用してバケットを保護すること

ASC 14 S3バケットへのインバウンドおよびアウトバウンドのトラフィックを暗号化すること

ASC 15 S3のバージョン管理、S3のライフサイクルポリシーを理解すること

ASC 16 S3のアクセスログを有効化すること

関連記事