AWSに対する攻撃の増加

AWSの利用ユーザーが増加し続ける一方で、不正アクセス者によるAWSへの攻撃も増加しています。AWSに対する攻撃はオンプレミス環境に対する攻撃とは異なった手法が多く用いられるため、ユーザーもオンプレミスとは異なる観点でセキュリティ対策を講じる必要があります。
例えば、AWSではIAM（Identity and Access Management）設定の不備が攻撃の対象となりやすいです。また、パブリックに公開されたS3バケットが情報漏洩の原因となることもあります。このようなリスクを軽減するためには、適切なセキュリティ設定が必要です。

AWSセキュリティ設定診断サービス

テクマトリックスが提供するAWSセキュリティ設定診断サービスは、お客様のAWS環境がセキュリティ面で適切に設定されているかを診断するサービスです。本サービスでは、お客様のAWS環境の設定情報をAPIを通じて取得し、CIS Amazon Web Services Foundations Benchmarkに基づいて適合性を検査します。
このサービスを利用することで、AWSの重大なインシデントを未然に防ぐことができます。

CIS Amazon Web Services Foundations Benchmarkについて

CIS Amazon Web Services Foundations BenchmarkとはAWSにおける一連のセキュリティのベストプラクティスを集めたセキュリティベンチマークです。アメリカの団体CIS（Center for Internet Security）が作成しており、世界的に広く認められているセキュリティ指標となります。検査項目はIAM管理、ストレージ、ロギング、モニタリング、ネットワークと多岐にわたっております。

検査項目

テクマトリックスが提供するAWSセキュリティ設定 診断サービスは、組織が目標とするセキュリティレベルに応じて、各検査項目はレベル1とレベル2に分かれております。

	レベル1	レベル2
概要	AWSを利用する全ての組織における 推奨事項	高セキュリティを優先する組織における 推奨事項
検査項目数	39個	61個
設定変更のインパクト	技術的に実用的な範囲でセキュリティを強化するためのベストプラクティスを提供する	各推奨事項には、以下のいずれかの性質が含まれる 管理性や使いやすさよりもセキュリティが重要な環境を対象とする  多層防御の手段として機能する  実用性またはパフォーマンスに影響を与える可能性がある 追加のライセンス、コスト、またはサードパーティソフトウェアの導入が含まれる場合がある

診断項目の一例

	診断項目	解説
IAM	長期間使用されていない認証情報	45日以上使用されていないIAMユーザのパスワード・アクセスキーはアクセス侵害のリスクを上昇させるため削除を推奨します。
	パスワードの最低文字長ポリシー	ブルートフォース攻撃への耐性を高めるためにパスワードの最低文字長は14文字以上に設定することを推奨します。
EC2	EC2メタデータサービスにおけるIMDSv2使用の強制	IMDSv1が利用可能になっている場合、EC2インスタンスがSSRF攻撃を受ける可能性があります。IMDSv2の利用を強制するオプションの有効化を推奨します。
VPC	管理用ポートのパブリックへの公開	宛先ポート: 22 (SSH) 、3389(RDP)の通信が送信元IPアドレス: 0.0.0.0/0で許可されているセキュリティグループが存在します。 攻撃者から不正な管理アクセスを受けるリスクが増大するため、送信元IPアドレスを絞り込むことが推奨されます。
RDS	データの暗号化	RDSテーブル上に記録されたデータは、AES-256で暗号化し、不正アクセスや漏えいからデータを保護することが推奨されます。
S3	パブリックアクセスのブロック	パブリックからのアクセスをブロックするオプションが有効化されていないS3バケットが存在した場合、本当にパブリックからのアクセスが必要かの見直しが推奨されます。これにより意図しないデータの外部への漏えいリスクを軽減させることが可能です。
CloudWatch	特定のイベントの監視	影響度の大きい特定の操作がAWS上で行われたときに管理者に通知を行うことで、監視を行うことが推奨されます。AWSのCloudWatch、CloudTrail、SNS機能を用いて実現が可能です。
CloudTrail	全リージョンでのCloudTrailの有効化	AWS上で行われた操作を後から追跡できるようにするために、CloudTrailは全てのリージョンで有効化して、監査ログを取得することが推奨されます。

サービスの流れ

診断結果報告書