IAMベストプラクティス

IAMベストプラクティスは、Amazon Web ServicesのIAMに関するベストプラクティスのガイダンスを提供します。

チェック対象のサービスは以下になります。

• AWS Identity and Access Management (IAM)
• AWS CloudTrail
• Amazon CloudFront
• Amazon CloudWatch
• AWS Config
• Amazon Simple Storage Service（S3）

IAMベストプラクティスはこちらから参照できます。

チェック内容は以下となります。

IAMベストプラクティス

IBP 01 AWS アカウントのrootユーザーのアクセスキーをロックする

• アラート基準：rootアカウントにアクセスキーが設定されている場合
• rootアカウントは強力な権限を持ちます。rootアカウントは利用せずIAMユーザーを利用します
• rootアカウントのアクセスキーを削除し、IAMユーザーを利用してください
• 対応手順はこちら

IBP 02 個々の IAM ユーザーの作成

• アラート基準：IAMユーザが存在しない場合
• rootアカウントは強力な権限を持ちます。rootアカウントは利用せずIAMユーザーを利用します
• お客様のアカウントにアクセスする人に対してIAMユーザーを作成してください
• 対応手順はこちら

IBP 03 IAM ユーザーへのアクセス権限を割り当てるためにグループを使用すること

• アラート基準：IAMユーザーにIAMポリシーがアタッチされている場合
• グループレベルで権限を割り当てることで、ユーザーが増えた場合の複雑さを軽減し、誤った権限を付与するリスクを低下させます
• IAMユーザーをグループに所属させ、グループにポリシーをアタッチ、IAMユーザーからポリシーを削除してください
• 対応手順はこちら

IBP 04 AWS定義のポリシーを使用して可能な限りアクセス権限を割り当てる

• アラート基準：前回のチェックから180日経過した場合
• IAMグループまたはロールに付与する権限は、可能な限りAWS管理ポリシーを使用してください
• AWS管理ポリシーは、AWSによって保守や更新が行われます
• 対応手順はこちら
• 補足情報
  • 職務機能の AWS 管理ポリシー

IBP 05 最小権限を付与する

• アラート基準：Admin権限 ( "Effect": "Allow", "Action": "*", "Resource": "*" ) ポリシーが付与されている場合
• IAMには最小権限を付与することで、必要なタスクのみ実行できるようになります
• ユーザーが利用するサービスを確認し、必要な権限のみを付与してください
• 対応手順はこちら
• 補足情報
  • 【Tips】Admin権限を持っていないIAMユーザーでIAM Roleを設定するためのポリシー設定
  • [AWS]CISで語られているIAMマスターロールとIAMマネージャーロールについて整理

IBP 06 アクセスレベルを使用して、IAM 権限を確認する

• アラート基準：前回のチェックから180日経過した場合
• IAMポリシーに定義されているサービスのアクセスレベルを参照して、ポリシーが提供するサービスへのアクセス権限を確認してください
• ポリシーには、必要なアクションだけを実行するための最小限の権限を付与します
• 対応手順はこちら
• 補足情報
  • ポリシー概要内のアクセスレベルの概要について

IBP 07 ユーザーの強力なパスワードポリシーを設定

IBP 07-01 IAMのパスワードポリシーにて「1文字以上の大文字」を有効にすること

• アラート基準：IAMのパスワードポリシーにて「1文字以上の大文字」が無効になっている場合
• IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
• 「1文字以上の大文字」を有効にしてください
• 対応手順はこちら

IBP 07-02 IAMのパスワードポリシーにて「1文字以上の小文字」を有効にすること

• アラート基準：IAMのパスワードポリシーにて「1文字以上の小文字」が無効になっている場合
• IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
• 「1文字以上の小文字」を有効にしてください
• 対応手順はこちら

IBP 07-03 IAMのパスワードポリシーにて「1文字以上の記号」を有効にすること

• アラート基準：IAMのパスワードポリシーにて「1文字以上の記号」が無効になっている場合
• IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
• 「1文字以上の記号」を有効にしてください
• 対応手順はこちら

IBP 07-04 IAMのパスワードポリシーにて「1文字以上の数字」を有効にすること

• アラート基準：IAMのパスワードポリシーにて「1文字以上の数字」が無効になっている場合
• IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
• 「1文字以上の数字」を有効にしてください
• 対応手順はこちら

IBP 07-05 IAMのパスワードポリシーにて「パスワードを14文字以上」を有効にすること

• アラート基準：IAMのパスワードポリシーにて「パスワードを14文字以上」が無効になっている場合
• IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
• 「パスワードを14文字以上」を有効にしてください
• 対応手順はこちら

IBP 07-06 IAMのパスワードポリシーにて「パスワードの再利用禁止」を有効にすること

• アラート基準
  • IAMのパスワードポリシーにて「パスワードの再利用禁止」が無効になっている
  • 記憶するパスワードの数が「24」になっていない
• IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
• 「パスワードの再利用禁止」を有効にしてください
  • 記憶するパスワードの数は「24」を指定してください。24以外を指定した場合はチェックNGになります。
• 対応手順はこちら

IBP 07-07 IAMのパスワードポリシーにて「90日以内のパスワード有効期限」を有効にすること

• アラート基準：IAMのパスワードポリシーにて「90日以内のパスワード有効期限」が無効になっている場合
• IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
• 「90日以内のパスワード有効期限」を有効にしてください
• 対応手順はこちら

IBP 07-08 IAMのパスワードポリシーにて「ユーザーにパスワードの変更を許可」を有効にすること

• アラート基準：IAMのパスワードポリシーにて「ユーザーにパスワードの変更を許可」が無効になっている場合
• IAMユーザーのパスワードポリシーを強化することでパスワードを推測されにくくします
• 「ユーザーにパスワードの変更を許可」を有効にしてください
• 対応手順はこちら

IBP 08 特権ユーザーに対してMFAを有効化する

• アラート基準：IAMユーザーにMFAが設定されていない場合
• IAMユーザーのMulti-Factor Authentication (MFA)を有効化し、ログイン時のセキュリティを強化します
• MFAを有効化してください
• 対応手順はこちら

IBP 09 Amazon EC2 インスタンスで実行するアプリケーションに対し、ロールを使用する

• アラート基準：EC2にIAMロールがアタッチされていない場合
• IAMロールでは期限付きの一時的なキーを利用します
• EC2からAWSリソースへのアクセスは、アクセスキーではなくIAMロールを利用することでキー漏洩時のリスクを低減できます
• 適切な権限を付与したIAMロールを作成し、EC2にアタッチしてください
• 対応手順はこちら

IBP 10 認証情報を共有するのではなく、ロールを使って委託する

• アラート基準：前回のチェックから180日経過した場合
• アクセスキー、シークレットキーをアカウント間で共有しないでください
• 他のAWSアカウントからお客様のAWSアカウントへのアクセスを許可する場合、アクセスキー共有するのではなくIAMロールを使用してください
• 対応手順はこちら

IBP 11 認証情報を定期的にローテーションする

• アラート基準
  • 90日以上ローテーションされていないアクセスキーが存在する場合
  • ローテーションされてから利用されていないアクセスキーが存在する場合
• アクセスキーは、ツール(AWS CLIやPowerShell、AWS SDKなど)からAWSを利用するための認証情報です
• 定期的にローテーションすることで、アクセスキーの盗難や漏洩に対するリスクを軽減します
• アクセスキーのローテーションを行なってください
• 対応手順はこちら

IBP 12 不要な認証情報を削除する

• アラート基準：90日以上利用していない認証情報(IAMユーザー、アクセスキー)が存在する場合
• 利用していない認証情報(IAMユーザー、アクセスキー)を定期的に棚卸し、セキュリティを向上させます
• 認証情報の無効化、または削除を行なってください
• 対応手順
  • IAMユーザー
  • アクセスキー

IBP 13 追加セキュリティに対するポリシー条件を使用する

• アラート基準：前回のチェックから180日経過した場合
• 作成したIAMポリシーは、実行可能な範囲内で条件を定義してください
• IAMポリシーに条件を定義することで、アクセス可能なリソース等を制限できます
• 対応手順はこちら

IBP 14 AWS アカウントのアクティビティの監視

IBP 14-01 CloudFrontのアクセスログが有効であること

• アラート基準：CloudFrontディストリビューションのログ記録が設定されていない場合
• CloudFrontでは受信するすべてのユーザーリクエストに関する詳細情報を含めたログファイルが作成できます
• CloudFrontディストリビューションのログ記録を有効にしてください
• 対応手順はこちら

IBP 14-02 全リージョンでCloudTrailが有効であること

• アラート基準：CloudTrailが有効になっていないリージョンが存在する場合
• CloudTrailはAWSのAPI呼び出しを記録します(IP、時刻、パラメータ)
• セキュリティ分析、リソース変更追跡、コンプライアンス監査に必要です
• CloudTrailを有効化してください
• 対応手順はこちら
• 参考：AWS CloudTrailに関する料金

IBP 14-03 CloudWatchメトリクスを確認すること

• アラート基準：前回のチェックから180日経過した場合
• CloudWatchではAWSで実行されているリソースをリアルタイムにモニタリングできます
• CloudWatchメトリクスを確認することで、十分利用されていないインスタンス等を把握することができます
• 対応手順はこちら

IBP 14-04 全リージョンでAWS Configが有効であること

• アラート基準：AWS Configが有効になっていないリージョンが存在する場合
• AWS Configを有効にすることでサポートされているリソースの構成管理ができ、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります
• AWS Configの設定を有効化してください
  • すべてのリソース配下の「このリージョンではサポートされているすべてのリソースを記録します」のチェックボックスが有効になっていること
  • すべてのリソース配下の「グローバルリソース (AWS IAM リソースなど) を含める」は少なくとも1つのリージョンでチェックボックスが有効になっていること
  • S3バケットが設定されていること
  • SNSトピックが設定されていること
• 対応手順はこちら
• 参考：AWS Configに関する料金

IBP 14-05 S3バケットでログ記録が有効であること

• アラート基準：S3バケットのアクセスログ記録が有効化されていない場合
• S3バケットのアクセスログには、アクセス時間、操作対象のリソース、操作内容が記録され監査ログとして有効です
• S3バケットのアクセスログを有効化してください
• 対応手順はこちら
• 参考：Amazon S3に関する料金