セキュリティ

Application Load Balancer とその Amazon EC2 ターゲットにアタッチされているセキュリティグループをチェックします。Application Load Balancer のセキュリティグループは、リスナーで設定されたインバウンドポートのみを許可する必要があります。ターゲットのセキュリティグループでは、ターゲットがロードバランサーからトラフィックを受信するのと同じポートでインターネットからの直接接続を受け入れないでください。

ロードバランサー用に設定されていないポートへのアクセス、またはターゲットへの直接アクセスがセキュリティグループで許可されている場合、データの損失や悪意のある攻撃のリスクが高くなります。

このチェックでは、次のグループは除外されます。

8604e947f2

セキュリティを向上させるには、セキュリティグループで必要なトラフィックフローのみを許可していることを確認してください。

Amazon CloudWatch ロググループの保持期間が 365 日または特定の日数に設定されているかどうかを確認します。

デフォルトでは、ログは無制限に保持され、失効しません。ただし、業界の規制や特定の期間の法的要件に準拠するように、ロググループごとに保持ポリシーを調整することができます。

AWS Config ルールの LogGroupNames と MinRetentionTime パラメータを使用して、最小保持期間とロググループ名を指定できます。

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

黄: Amazon CloudWatch ロググループの保持期間が希望する最小日数を下回っています。

Amazon CloudWatch Logs に保存されているログデータには、コンプライアンス要件を満たすために 365 日を超える保存期間を設定します。

詳細については、「CloudWatch Logs でのログデータ保管期間の変更」を参照してください。

CloudWatch のログ保持期間の変更

直近 24 時間以内に実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの SQL Server バージョンをチェックします。このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、または終了している場合に警告を受け取ります。SQL Server の各バージョンでは、5 年間のメインストリームサポートと 5 年間の延長サポートを含む 10 年間のサポートが提供されます。サポートの終了後には、SQL Server バージョンは定期的なセキュリティ更新を受け取らなくなります。サポートされていないバージョンの SQL Server でアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが生じる可能性があります。

Qsdfp3A4L3

SQL Server のワークロードをモダナイズするには、Amazon Aurora などの AWS クラウド ネイティブデータベースへのリファクタリングを検討してください。詳細については、「AWS で Windows ワークロードを最新化」を参照してください。

フルマネージドデータベースに移行するには、Amazon Relational Database Service (Amazon RDS) への再プラットフォーム化を検討します。詳細については、「Amazon RDS for SQL Server」を参照してください。

Amazon EC2 で SQL Server をアップグレードするには、オートメーションランブックを使用してアップグレードを簡素化することを検討してください。詳細については、AWS Systems Manager のドキュメントを参照してください。

Amazon EC2 で SQL Server をアップグレードできない場合は、Windows Server 向けサポート終了移行プログラム (EMP) を検討してください。詳細については、EMP のウェブサイトを参照してください。

このチェックでは、ご利用の Microsoft Windows Server のバージョンのサポートが終了に近づいているか、または終了している場合に警告が表示されます。Windows Server の各バージョンでは、5 年間のメインストリームサポートと 5 年間の延長サポートを含む 10 年間のサポートが提供されます。サポートの終了後には、Windows Server バージョンは定期的なセキュリティ更新を受け取らなくなります。サポートされていないバージョンの Windows Server でアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが生じる可能性があります。

Qsdfp3A4L4

Windows Server のワークロードを最新化する際は、「AWS で Windows ワークロードを最新化」で利用できる各種オプションをご検討ください。

Windows Server ワークロードをアップグレードしてより新しいバージョンの Windows Server で実行するときは、自動化ランブックを使用できます。詳細については、AWS Systems Manager のドキュメントを参照してください。

以下のステップを実行します。

このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、終了している場合に警告します。次の LTS に移行するか Ubuntu Pro にアップグレードすることで、対策を講じることが重要です。サポート終了後、18.04 LTS のマシンはセキュリティ更新を受信できなくなります。Ubuntu Pro サブスクリプションを利用すると、Ubuntu 18.04 LTS デプロイは 2028 年まで Expanded Security Maintenance (ESM) を受け取ることができます。パッチが適用されていないセキュリティの脆弱性により、システムがハッカーにさらされ、重大な侵害が発生する可能性があります。

c1dfprch15

赤: Amazon EC2 インスタンスに、標準サポートが終了した Ubuntu バージョン (Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS、18.04.6 LTS)

黄色: Amazon EC2 インスタンスに、6 か月以内に標準サポートが終了する Ubuntu バージョン (Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.5 LTS、20.04.6 LTS) が含まれています。

緑: すべての Amazon EC2 インスタンスが準拠しています。

Ubuntu 18.04 LTS インスタンスをサポートされている LTS バージョンにアップグレードするには、こちらの記事に記載されている手順に従ってください。Ubuntu 18.04 LTS インスタンスを Ubuntu Pro にアップグレードするには、AWS License Manager コンソールにアクセスし、「AWS License Manager ユーザーガイド」に記載された手順に従ってください。Ubuntu インスタンスを Ubuntu Pro にアップグレードする手順を説明したデモをご覧いただける Ubuntu ブログも参照してください。

料金については、サポート にお問い合わせください。

Amazon EFS ファイルシステムが転送中データの暗号化を使用してマウントされているかどうかを確認します。AWS では、データを偶発的な公開や不正アクセスから保護するため、すべてのデータフローで転送中データの暗号化を使用することを推奨しています。Amazon EFS では、Amazon EFS マウントヘルパーを使用して「-o tls」によるマウント設定を使用し、TLS v1.2 を使用して転送中のデータを暗号化することを推奨しています。

c1dfpnchv1

黄色: Amazon EFS ファイルシステムの 1 つ以上の NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用していません。

緑: Amazon EFS ファイルシステムのすべての NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用しています。

Amazon EFS で転送中のデータの暗号化機能を利用するには、Amazon EFS マウントヘルパーおよび推奨されるマウント設定を使用して、ファイルシステムを再マウントすることをお勧めします。

Amazon Elastic Block Store (Amazon EBS) ボリュームスナップショットのアクセス許可設定をチェックし、スナップショットが一般にアクセス可能である場合に警告します。

スナップショットをパブリックにすると、すべての AWS アカウント とユーザーにスナップショット上のすべてのデータへのアクセスが付与されます。スナップショットを特定のユーザーまたはアカウントとのみ共有するには、そのスナップショットをプライベートとしてマークします。その後で、スナップショットデータを共有するユーザーまたはアカウントを指定します。「すべての共有をブロック」モードで [パブリックアクセスをブロック] を有効にしている場合、パブリックスナップショットはパブリックにアクセスできず、このチェックの結果にも表示されませんのでご注意ください。

ePs02jT06w

赤: EBS ボリュームスナップショットはパブリックにアクセス可能です。

スナップショット内のすべてのデータをすべての AWS アカウントおよびユーザーと共有することが確実でない限り、許可を変更します (スナップショットをプライベートとしてマークしてから、許可を付与するアカウントを指定します)。詳細については、「Amazon EBS スナップショットの共有」を参照してください。EBS スナップショットのパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。このチェックは、Trusted Advisor コンソールのビューから除外することはできません。

スナップショットの許可を直接変更するには、AWS Systems Manager コンソールでランブックを使用します。詳細については、 を参照してください。AWSSupport-ModifyEBSSnapshotPermission

Amazon EBS スナップショット

Amazon RDS では、AWS Key Management Service で管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。

Aurora DB クラスターの作成時に暗号化が有効になっていない場合は、復号化されたスナップショットを暗号化された DB クラスターに復元する必要があります。

c1qf5bt005

赤: Amazon RDS Aurora リソースでは暗号化が有効になっていません。

DB クラスターの保管中のデータの暗号化を有効にします。

DB インスタンスの作成時に暗号化を有効にすることも、回避策を使用してアクティブな DB インスタンスの暗号化を有効にすることもできます。復号化された DB クラスターを暗号化された DB クラスターに変更することはできません。ただし、複合化されたスナップショットを暗号化された DB クラスターに復元することはできます。復号化されたスナップショットから復元するときは、AWS KMS キーを指定する必要があります。

詳細については、「Amazon Aurora リソースの暗号化」を参照してください。

データベースリソースで最新のマイナー DB エンジンバージョンが実行されていません。最新のマイナーバージョンには、最新のセキュリティ修正プログラムやその他の改善が含まれています。

c1qf5bt003

黄: Amazon RDS リソースで最新のマイナー DB エンジンバージョンが実行されていません。

最新バージョンにアップグレードします。

最新の DB エンジンのマイナーバージョンには、最新のセキュリティと機能の修正が含まれているため、このバージョンでデータベースを保守することをお勧めします。DB エンジンのマイナーバージョンのアップグレードには、DB エンジンの同じメジャーバージョンの以前のマイナーバージョンと後方互換性のあるデータベースの変更のみが含まれます。

詳細については、「DB インスタンスのエンジンバージョンのアップグレード」を参照してください。

Amazon Relational Database Service (Amazon RDS) DB スナップショットのアクセス許可設定をチェックし、スナップショットがパブリックとしてマークされている場合に警告します。

スナップショットをパブリックにすると、すべての AWS アカウント とユーザーにスナップショット上のすべてのデータへのアクセスが付与されます。スナップショットを特定のユーザーまたはアカウントをのみ共有する場合は、そのスナップショットをプライベートとしてマークします。その後にスナップショットデータを共有するユーザーまたはアカウントを指定します。

rSs93HQwa1

赤: Amazon RDS スナップショットはパブリックとしてマークされています。

スナップショット内のすべてのデータをすべての AWS アカウント およびユーザーと共有することが確実でない限り、許可を変更します。スナップショットをプライベートとしてマークしてから、許可を付与するアカウントを指定します。詳細については、「DB スナップショットまたは DB クラスタースナップショットの共有」を参照してください。このチェックは、Trusted Advisor コンソールのビューから除外することはできません。

スナップショットの許可を直接変更するために、AWS Systems Manager コンソールでランブックを使用できます。詳細については、 を参照してください。AWSSupport-ModifyRDSSnapshotPermission

Amazon RDS DB インスタンスのバックアップと復元

Amazon Relational Database Service（Amazon RDS）のセキュリティグループ設定をチェックし、セキュリティグループルールでデータベースへの過度なアクセスが許可されている場合に警告します。セキュリティグループルールの推奨設定は、特定の Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループまたは特定の IP アドレスからのアクセスのみを許可することです。

nNauJisYIT

EC2-Classic は 2022 年 8 月 15 日に廃止されました。Amazon RDS インスタンスを VPC に移行し、Amazon EC2 セキュリティグループを使用することをお勧めします。DB インスタンスを VPC に移行する方法の詳細については、「VPC 外の DB インスタンスを VPC 内に移行する」を参照してください。

Amazon RDS インスタンスを VPC に移行できない場合は、セキュリティグループのルールを確認し、承認された IP アドレスまたは IP 範囲へのアクセスを制限します。セキュリティグループを編集するには、AuthorizeDBSecurityGroupIngress API または AWS マネジメントコンソール を使用します。詳細については、「DB セキュリティグループの操作」を参照してください。

Amazon RDS では、AWS Key Management Service で管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。

DB インスタンスの作成時に暗号化が有効になっていない場合は、暗号化を有効にする前に、復号化されたスナップショットの暗号化されたコピーを復元する必要があります。

c1qf5bt006

赤: Amazon RDS リソースでは暗号化が有効になっていません。

DB インスタンスの保管中のデータの暗号化を有効にします。

DB インスタンスを暗号化できるのは、DB インスタンスを作成するときだけです。既存のアクティブな DB インスタンスを暗号化するには:

詳細については、以下のリソースを参照してください。

Amazon S3 バケットのホスト名を直接指す CNAME レコードを持つ Amazon Route 53 ホストゾーンをチェックし、CNAME が S3 バケット名と一致しない場合にアラートを出します。

c1ng44jvbm

赤: Amazon Route 53 ホストゾーンに、S3 バケットのホスト名の不一致を示す CNAME レコードがあります。

緑: Amazon Route 53 ホストゾーンと一致しない CNAME レコードはありませんでした。

CNAME レコードを S3 バケットのホスト名に指定する場合は、設定した CNAME またはエイリアスレコードと一致するバケットが存在することを確認する必要があります。これにより、CNAME レコードが偽装されるリスクを回避できます。また、権限のない AWS ユーザーがお客様のドメインを使用して欠陥のあるウェブコンテンツや悪意のあるウェブコンテンツをホストすること防止できます。

CNAME レコードが S3 バケットのホスト名に直接指定されないようにするには、オリジンアクセスコントロール (OAC) を使用し、Amazon CloudFront を通じて S3 バケットのウェブアセットにアクセスすることを検討してください。

CNAME を Amazon S3 バケットのホスト名に関連付ける方法の詳細については、「CNAME レコードを使用した Amazon S3 URL のカスタマイズ」を参照してください。

各 MX レコードについて、有効な SPF 値を含む関連付けられた TXT レコードをチェックします。TXT レコードの値は、“v=spf1" で始める必要があります。SPF レコードタイプは、Internet Engineering Task Force (IETF) によって非推奨とされています。Route 53 では、SPF レコードの代わりに TXT レコードを使用することが推奨されています。有効な SPF 値を持つ TXT レコードが MX レコードに 1 つ以上関連付けられている場合、Trusted Advisor はこのチェックを緑として報告します。

c9D319e7sG

MX リソースレコードセットごとに、有効な SPF 値を含む TXT リソースレコードセットを作成します。詳細については、「Sender Policy Framework: SPF Record Syntax」(Sender Policy Framework: SPF レコード構文) および「Amazon Route 53 コンソールを使用したリソースレコードセットの作成」を参照してください。

オープンアクセス許可があるか、認証済みの AWS ユーザーへのアクセスを許可する Amazon Simple Storage Service (Amazon S3) 内のバケットをチェックします。

このチェックでは、明示的なバケットアクセス許可、およびそのアクセス許可をオーバーライドする可能性のあるバケットポリシーが調べられます。Amazon S3 バケットのすべてのユーザーにリストアクセス許可を付与することは推奨されません。これらのアクセス許可により、意図しないユーザーがバケット内のオブジェクトを頻繁にリストすることがあります。結果として、予想される料金よりも高くなる可能性があります。すべてのユーザーにアップロードと削除のアクセス許可を付与すると、バケットのセキュリティの脆弱性が生じる可能性があります。

Pfx0RwqBli

バケットがオープンアクセスを許可している場合、オープンアクセスが本当に必要かどうかを判断します。例えば、静的ウェブサイトをホストするには、Amazon CloudFront を使用して Amazon S3 でホストされているコンテンツを提供できます。詳細については、「Amazon CloudFront デベロッパーガイド」の「Amazon S3 オリジンへのアクセスを制限する」を参照してください。必要でない場合は、バケットの許可を更新して、所有者または特定のユーザーへのアクセスを制限します。Amazon S3 のパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。「バケットとオブジェクトのアクセス許可の設定」を参照してください。

Managing Access Permissions to Your Amazon S3 Resources (Amazon S3 リソースへのアクセス許可の管理

S3 バケットへのパブリックアクセスブロック設定の構成

VPC ピアリング接続で、アクセプターとリクエスター VPC の両方の DNS 解決が有効になっているかどうかを確認します。

VPC ピアリング接続の DNS 解決により、パブリック DNS ホスト名がプライベート IPv4 アドレスに解決されるように VPC からクエリを実行することができます。これにより、ピアリングされた VPC 内のリソース間の通信に DNS 名を使用できるようになります。VPC ピアリング接続の DNS 解決により、アプリケーションの開発と管理が簡単になり、エラーが発生しにくくなります。また、リソースは常に VPC ピアリング接続を介してプライベートに通信できます。

AWS Config ルールの vpcIds パラメータを使用して VPC ID を指定できます。

詳細については、「VPC ピアリング接続の DNS 解決を有効にする」を参照してください。

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

黄: VPC ピアリング接続のアクセプター VPC とリクエスタ VPC の両方で DNS 解決が有効になっていません。

VPC ピアリング接続の DNS 解決を有効にします。

Application Load Balancer (ALB) ターゲットグループが HTTPS プロトコルを使用して、インスタンスまたは IP のバックエンドターゲットタイプの転送中の通信を暗号化していることを確認します。ALB とバックエンドターゲット間の HTTPS リクエストは、転送中のデータの機密性を維持するのに役立ちます。

c2vlfg0p1w

HTTPS アクセスをサポートするようにインスタンスまたは IP のバックエンドターゲットタイプを設定し、HTTPS プロトコルを使用して ALB とインスタンスまたは IP のバックエンドターゲットタイプ間の通信を暗号化するようにターゲットグループを変更します。

転送時の暗号化を強制する

Target type

Routing configuration

Data protection in Elastic Load Balancing

AWS Backup ボールトに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されているかどうかを確認します。

リソースベースのポリシーにより、リカバリポイントが予期せず削除されるのを防ぐことができるため、バックアップデータに対して最小特権でアクセス制御を行うことができます。

ルールにチェックさせたくない AWS Identity and Access Management ARN は、AWS Config ルールの principalArnList パラメータで指定できます。

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

黄: リカバリポイントの削除を防止するリソースベースのポリシーがない AWS Backup ボールトがあります。

リカバリポイントが予期せず削除されないように、AWS Backup ボールトにリソースベースのポリシーを作成してください。

ポリシーには、backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy 権限を含む「拒否」ステートメントを含める必要があります。

詳細については、「Set access policies on backup vaults」を参照してください。

AWS CloudTrail の使用をチェックします。CloudTrail は、AWS アカウントのアクティビティの可視性を高めるのに役立ちます。は、アカウントで行われた AWS API コールに関する情報を記録することで、これを実現しています。このログを使用して、特定のユーザーが指定期間にどのようなアクションを行ったか、指定期間に特定のリソースに対してどのユーザーがアクションを実行したかを判断できます。

CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信するため、CloudTrail には、そのバケットに対する書き込みアクセス許可が必要です。証跡をすべての AWS リージョンに適用する場合 (新しい証跡を作成した場合のデフォルト)、証跡は Trusted Advisor レポートに複数回表示されます。

c25hn9x03v

証跡を作成してコンソールからログ記録を開始するには、AWS CloudTrail コンソールを開きます。

ログ記録を開始するには、「Stopping and Starting Logging for a Trail」(証跡のログ記録の停止と開始) を参照してください。

ログ配信エラーが発生した場合は、バケットが存在し、必要なポリシーがバケットにアタッチされていることを確認してください。「Amazon S3 バケットポリシー」を参照してください。

$LATEST バージョンが、まもなく非推奨になるランタイムを使用するか、または非推奨のランタイムを使用するように設定されている Lambda 関数をチェックします。非推奨のランタイムは、セキュリティアップデートやテクニカルサポートの対象にはなりません。

公開された Lambda 関数のバージョンは不変です。つまり、呼び出すことはできますが、更新することはできません。更新できるのは Lambda 関数の $LATEST バージョンのみです。詳細については、「Lambda 関数のバージョン」を参照してください。

L4dfs2Q4C5

もうすぐ非推奨になるランタイムで実行されている関数がある場合は、サポート対象のランタイムへの移行に向けて準備する必要があります。詳細については、「Runtime support policy」(ランタイムサポートポリシー) を参照してください。

使用しなくなった以前の関数バージョンを削除することをお勧めします。

Lambda ランタイム

セキュリティの柱で、ワークロードに関するリスクの高い問題 (HRI) をチェックします。このチェックは、お客様の AWS-Well Architected レビューに基づきます。チェック結果は、AWS Well-Architected でワークロード評価を完了したかどうかによって異なります。

Wxdfp4B1L3

AWS Well-Architected は、ワークロードの評価中に高リスクの問題を検出しました。これらの問題は、リスクを軽減し、費用を節約する機会を提示します。AWS Well-Architected ツールにサインインして、回答を確認し、アクティブな問題を解決するためのアクションを実行します。

IAM 証明書ストア内の CloudFront 代替ドメイン名の SSL 証明書をチェックします。このチェックでは、証明書の期限が切れている場合、近日中に証明書の期限が切れる場合、証明書で古い暗号化が使用されている場合、またはディストリビューションに対して証明書が正しく構成されていない場合にアラートが発生します。

代替ドメイン名のカスタム証明書の有効期限が切れると、CloudFront コンテンツを表示するブラウザにウェブサイトのセキュリティに関する警告メッセージが表示されることがあります。SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのほとんどのウェブブラウザで非推奨になる予定です。

証明書には、オリジンドメイン名、またはビューワーリクエストのホストヘッダー内のドメイン名のいずれかに一致するドメイン名が含まれている必要があります。一致しない場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) をユーザーに返します。詳細については、「代替ドメイン名と HTTPS の使用」を参照してください。

N425c450f2

AWS Certificate Manager を使用してサーバー証明書のプロビジョニング、管理、デプロイを行うことをお勧めします。ACM を使用すると、新しい証明書をリクエストしたり、既存の ACM または外部証明書を AWS リソースにデプロイしたりできます。ACM で提供された証明書は無料で、自動的に更新できます。ACM の使用の詳細については、「AWS Certificate Manager ユーザーガイド」を参照してください。ACM がサポートしている AWS リージョンを確認するには、「AWS 全般のリファレンス」の「AWS Certificate Manager endpoints and quotas」を参照してください。

期限切れになっている証明書、または間もなく期限切れになる証明書を更新します。証明書の更新の詳細については、「IAM でサーバー証明書を管理する」を参照してください。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。

証明書を、[Common Names] (共通名) フィールドまたは [Subject Alternative Domain Names] (サブジェクト代替ドメイン名) フィールドに該当する値を含む証明書に置き換えます。

HTTPS 接続を使用したオブジェクトへのアクセス

証明書のインポート

AWS Certificate Manager ユーザーガイド

オリジンサーバーで、有効期限が切れている SSL 証明書、有効期限が近づいている SSL 証明書、欠落している SSL 証明書、または古い暗号化を使用している SSL 証明書をチェックします。証明書に上記のいずれかの問題がある場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) を使用してコンテンツのリクエストに応答します。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのウェブブラウザで非推奨になる予定です。CloudFront ディストリビューションに関連付けた SSL 証明書の数によっては、このチェックにより、ウェブホスティングプロバイダー (例えば Amazon EC2 または Elastic Load Balancing を CloudFront ディストリビューションのオリジンとして使用している場合は AWS) による請求が 1 か月あたり数セント増加する場合があります。このチェックでは、オリジン証明書チェーンまたは認証局は検証されません。これらは CloudFront 設定で確認できます。

N430c450f2

有効期限が切れているか、間もなく期限切れになる場合は、オリジンで証明書を更新します。

証明書が存在しない場合は追加します。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。

代替ドメイン名と HTTPS の使用

暗号化された通信に推奨されるセキュリティ設定を使用していないリスナーを持つ Classic Load Balancer をチェックします。AWS では、セキュアなプロトコル (HTTPS または SSL)、最新のセキュリティポリシー、およびセキュアな暗号とプロトコルの使用を推奨しています。フロントエンド接続 (クライアントからロードバランサーへの接続) にセキュアなプロトコルを使用すると、クライアントとロードバランサーの間でリクエストが暗号化されるため、より安全な環境を構築できます。Elastic Load Balancing は、セキュリティに関する AWS のベストプラクティスに準拠する暗号化およびプロトコルを使用する事前定義済みのセキュリティポリシーを提供します。新しい構成が利用可能になると、事前定義済みのポリシーの新しいバージョンがリリースされます。

a2sEc6ILx

ロードバランサーへのトラフィックをセキュリティで保護する必要がある場合は、フロントエンド接続に HTTPS または SSL プロトコルを使用します。

ロードバランサーを事前定義済みの SSL セキュリティポリシーの最新バージョンにアップグレードします。

推奨される暗号とプロトコルのみを使用してください。

詳細については、「Listener Configurations for Elastic Load Balancing」(Elastic Load Balancing のリスナー設定) を参照してください。

ロードバランサー用に設定されていないポートへのアクセスを許可するセキュリティグループで設定されたロードバランサーをチェックします。

ロードバランサー用に設定されていないポートへのアクセスがセキュリティグループで許可されている場合、データの損失や悪意のある攻撃のリスクが高くなります。

xSqX82fQu

セキュリティグループルールを設定して、ロードバランサーのリスナー設定で定義されたポートとプロトコル、および Path MTU Discovery をサポートする ICMP プロトコルのみにアクセスを制限します。「Listeners for Your Classic Load Balancer」(Classic Load Balancer のリスナー) および「Security Groups for Load Balancers in a VPC」(VPC のロードバランサーのセキュリティグループ) を参照してください。

セキュリティグループがない場合は、ロードバランサーに新しいセキュリティグループを適用します。ロードバランサーのリスナー設定で定義されているポートとプロトコルのみにアクセスを制限するセキュリティグループルールを作成します。「VPC でのロードバランサーのセキュリティグループ」を参照してください。

一般に露出されているアクセスキー、およびアクセスキーが侵害された結果である可能性のある Amazon Elastic Compute Cloud (Amazon EC2) の不規則な使用状況について頻繁に使用されているコードリポジトリをチェックします。

アクセスキーは、アクセスキー ID とそれに対応するシークレットアクセスキーで構成されます。露出したアクセスキーは、アカウントや他のユーザーにセキュリティ上のリスクの原因となり、不正な活動や不正使用に起因する過度の請求が発生する可能性があるだけでなく、AWS カスタマーアグリーメントの違反になることがあります。

アクセスキーが露出している場合は、直ちにアカウントを保護してください。過度の請求からアカウントを保護するために、AWS は、ユーザーが AWS リソースを作成する機能を一時的に制限します。これにより、アカウントのセキュリティが確保されるわけではありません。課金される可能性のある不正使用を部分的に制限するだけです。

アクセスキーの期限が表示されている場合、その日までに未許可の使用が停止されないと、AWS は AWS アカウント を一時停止する場合があります。アラートがエラー状態であると思われる場合は、AWS サポート まで問い合わせてください。

Trusted Advisor に表示される情報は、アカウントの最新の状態を反映していない可能性があります。アカウントで公開されているすべてのアクセスキーが解決されるまで、公開されたアクセスキーが解決済みとしてマークされることはありません。このデータ同期には、最大 1 週間かかる場合があります。

12Fnkpl8Y5

影響を受けるアクセスキーを可能な限り早急に削除します。キーが IAM ユーザーに関連付けられている場合は、「IAM ユーザーのアクセスキーの管理」を参照してください。

アカウントで不正使用がないか確認してください。AWS マネジメントコンソール にサインインし、疑わしいリソースがないか各サービスコンソールを確認します。Amazon EC2 インスタンスの実行、スポットインスタンスリクエスト、アクセスキー、IAM ユーザーには特に注意してください。Billing and Cost Management コンソールで全体的な使用状況を確認することもできます。

過去 90 日間にローテーションされていないアクティブな IAM アクセスキーをチェックします。

アクセスキーを定期的にローテーションすると、侵害されたキーが知らないうちにリソースへのアクセスに使用される可能性を削減できます。このチェックでの最後のローテーション日時は、アクセスキーが作成された日または最後にアクティブ化された日です。アクセスキーの番号と日付は access_key_1_last_rotated および access_key_2_last_rotated 情報を直近の IAM 認証情報レポートから取得されます。

認証情報レポートの再生頻度は制限されているため、このチェックを更新しても最近の変更が反映されない場合があります。詳細については、「AWS アカウント の認証情報レポートの取得」を参照してください。

アクセスキーを作成してローテーションするには、ユーザーに適切な許可が必要です。詳細については、「Allow Users to Manage Their Own Passwords, Access Keys, and SSH Keys」(自らのパスワード、アクセスキー、および SSH キーの管理をユーザーに許可する) を参照してください。

DqdJqYeRm5

アクセスキーを定期的にローテーションします。「アクセスキーの更新」および「IAM ユーザーのアクセスキーの管理」を参照してください。

アカウントレベルで IAM Access Analyzer の外部アクセスが存在するかどうかを確認します。

IAM Access Analyzer の外部アクセスアナライザーは、外部エンティティと共有されているアカウントのリソースを特定するのに役立ちます。アナライザーは検出結果を使用して一元化されたダッシュボードを作成します。新しいアナライザーが IAM コンソールでアクティブ化されると、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントの優先順位を付けることができます。外部アクセスアナライザーは、リソースのパブリックアクセスとクロスアカウントアクセスの検出結果を作成します。これは追加料金なしで利用できます。

07602fcad6

アカウントごとに外部アクセスアナライザーを作成することで、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントの優先順位を付けることができます。詳細については、「AWS Identity and AWS Identity and Access Management Access Analyzer の開始方法」を参照してください。

さらに、未使用のアクセスアナライザーを利用することをお勧めします。この有料機能により、未使用のアクセスを簡単に調べて最小特権を実現できます。詳細については、「IAM ユーザーおよびロールに付与された未使用のアクセスを特定する」を参照してください。

アカウントのパスワードポリシーをチェックし、パスワードポリシーが有効になっていない場合やパスワードコンテンツの要件が有効になっていない場合に警告します。

パスワードコンテンツの要件は、強力なユーザーパスワードの作成を強制することによって AWS 環境の全体的なセキュリティを強化します。パスワードポリシーを作成または変更すると、変更は新しいユーザーに対してただちに適用されますが、既存のユーザーに対してパスワードの変更は強制されません。

Yw2K9puPzl

一部のコンテンツ要件が有効になっていない場合は、有効にすることを検討してください。パスワードポリシーが有効になっていない場合は、パスワードポリシーを作成して設定します。「IAM ユーザー用のアカウントパスワードポリシーの設定」を参照してください。

IAM ユーザーが AWS マネジメントコンソール にアクセスするには、パスワードが必要です。ベストプラクティスとして、AWS では IAM ユーザーを作成する代わりに、フェデレーションの使用することを強くお勧めします。フェデレーションでは、ユーザーは既存の企業認証情報を使用して、AWS マネジメントコンソール にログインできます。IAM Identity Center を使用してユーザーを作成またはフェデレートし、IAM ロールをアカウントに引き継ぎます。

ID プロバイダーとフェデレーションの詳細については、「IAM ユーザーガイド」の「ID プロバイダーとフェデレーション」を参照してください。IAM Identity Center の詳細については、「IAM Identity Center ユーザーガイド」を参照してください。

パスワードの管理

AWS アカウントが SAML 2.0 をサポートする ID プロバイダー (IdP) 経由でアクセスするように設定されているかどうかを確認します。ID を一元化し、外部 ID プロバイダーまたは AWS IAM Identity Center でユーザーを設定するときは、ベストプラクティスに従ってください。

c2vlfg0p86

AWS アカウントの IAM Identity Center をアクティブ化します。詳細については、「Enable IAM Identity Center」を参照してください。IAM Identity Center を有効にすると、アクセス許可セットの作成や Identity Center グループへのアクセスの割り当てなどの一般的なタスクを実行できます。詳細については、「Getting started with IAM Identity Center」を参照してください。

IAM Identity Center で人間のユーザーを管理することをお勧めします。ただし、小規模デプロイでは、短期的に人間のユーザーに対して IAM によるフェデレーションユーザーアクセスをアクティブ化できます。詳細については、「SAML 2.0 フェデレーション」を参照してください。

IAM Identity Centerとは何ですか?

IAM とは

アカウントのルートユーザー認証情報をチェックし、多要素認証 (MFA) が有効でない場合に警告します。

セキュリティを強化するには、MFA を使用してアカウントを保護することをお勧めします。その場合、ユーザーは、AWS マネジメントコンソール および関連付けられたウェブサイトと対話するときに自分の MFA ハードウェアまたは仮想デバイスの一意の認証コードを入力する必要があります。

7DAFEmoDos

AWS Organizations のメンバーアカウントの場合: 管理アカウントにログインし、IAM でルートアクセス管理機能を有効にして、このメンバーアカウントからルートユーザー認証情報を削除します。「メンバーアカウントのルートアクセスを一元化する」を参照してください。

AWS Organizations のスタンドアロンアカウントまたは管理アカウントの場合: ルートアカウントにログインし、MFA デバイスをアクティブ化します。詳細については、「MFA ステータスをチェックする」および「IAM の AWS 多要素認証」を参照してください。

ルートユーザーのアクセスキーがあるかどうかを確認します。ルートユーザーのアクセスキーペアを作成しないことを強くお勧めします。ルートユーザーにしか実行できないタスクはごくわずかであり、通常はこれらのタスクの実行頻度は低いため、AWS マネジメントコンソールにログインしてルートユーザーのタスクを実行することをお勧めします。アクセスキーを作成する前に、長期的なアクセスキーの代替案を確認してください。

c2vlfg0f4h

ルートユーザーのアクセスキーを削除します。「ルートユーザーのアクセスキーを削除する」を参照してください。このタスクはルートユーザーが実行する必要があります。IAM ユーザーまたはロールとしてこれらの手順を実行することはできません。

セキュリティグループで特定のポートへの無制限アクセス (0.0.0.0/0) を許可するルールを確認します。

無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。リスクが最も高いポートには赤色のフラグが付けられ、リスクが低いポートには黄色のフラグが付けられます。緑色のフラグが付いたポートは、通常、HTTP や SMTP など、無制限のアクセスを必要とするアプリケーションで使用されます。

この方法でセキュリティグループを意図的に設定した場合は、追加のセキュリティ対策を使用してインフラストラクチャ (IP テーブルなど) を保護することをお勧めします。

HCP4007jGY

アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。

未使用のセキュリティグループを確認して削除します。AWS Firewall Managerを使用して、AWS アカウント全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については、「AWS Firewall Manager」を参照してください。

EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。Session Manager を使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。

セキュリティグループでリソースへの無制限アクセスを許可するルールをチェックします。

無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。

1iG5NDGVre

アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。

未使用のセキュリティグループを確認して削除します。AWS Firewall Managerを使用して、AWS アカウント全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については、「AWS Firewall Manager」を参照してください。

EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。Session Manager を使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。