AWSセキュリティ設定診断サービス

AWSに対する攻撃の増加

AWSの利用ユーザーが増加し続ける一方で、不正アクセス者によるAWSへの攻撃も増加しています。AWSに対する攻撃はオンプレミス環境に対する攻撃とは異なった手法が多く用いられるため、ユーザーもオンプレミスとは異なる観点でセキュリティ対策を講じる必要があります。
例えば、AWSではIAM(Identity and Access Management)設定の不備が攻撃の対象となりやすいです。また、パブリックに公開されたS3バケットが情報漏洩の原因となることもあります。このようなリスクを軽減するためには、適切なセキュリティ設定が必要です。

AWSに対する攻撃の増加

AWSセキュリティ設定診断サービス

テクマトリックスが提供するAWSセキュリティ設定診断サービスは、お客様のAWS環境がセキュリティ面で適切に設定されているかを診断するサービスです。本サービスでは、お客様のAWS環境の設定情報をAPIを通じて取得し、CIS Amazon Web Services Foundations Benchmarkに基づいて適合性を検査します。
このサービスを利用することで、AWSの重大なインシデントを未然に防ぐことができます。

AWSセキュリティ設定診断サービス

CIS Amazon Web Services Foundations Benchmarkについて

CIS Amazon Web Services Foundations BenchmarkとはAWSにおける一連のセキュリティのベストプラクティスを集めたセキュリティベンチマークです。アメリカの団体CIS(Center for Internet Security)が作成しており、世界的に広く認められているセキュリティ指標となります。検査項目はIAM管理、ストレージ、ロギング、モニタリング、ネットワークと多岐にわたっております。

検査項目

テクマトリックスが提供するAWSセキュリティ設定 診断サービスは、組織が目標とするセキュリティレベルに応じて、各検査項目はレベル1とレベル2に分かれております。

  レベル1 レベル2
概要 AWSを利用する全ての組織における
推奨事項
高セキュリティを優先する組織における
推奨事項
検査項目数 39個 61個
設定変更のインパクト 技術的に実用的な範囲でセキュリティを強化するためのベストプラクティスを提供する 各推奨事項には、以下のいずれかの性質が含まれる
  • 管理性や使いやすさよりもセキュリティが重要な環境を対象とする
  •  多層防御の手段として機能する
  •  実用性またはパフォーマンスに影響を与える可能性がある
  • 追加のライセンス、コスト、またはサードパーティソフトウェアの導入が含まれる場合がある

診断項目の一例

  診断項目 解説
IAM 長期間使用されていない認証情報 45日以上使用されていないIAMユーザのパスワード・アクセスキーはアクセス侵害のリスクを上昇させるため削除を推奨します。
パスワードの最低文字長ポリシー ブルートフォース攻撃への耐性を高めるためにパスワードの最低文字長は14文字以上に設定することを推奨します。
EC2 EC2メタデータサービスにおけるIMDSv2使用の強制 IMDSv1が利用可能になっている場合、EC2インスタンスがSSRF攻撃を受ける可能性があります。IMDSv2の利用を強制するオプションの有効化を推奨します。
VPC 管理用ポートのパブリックへの公開 宛先ポート: 22 (SSH) 、3389(RDP)の通信が送信元IPアドレス: 0.0.0.0/0で許可されているセキュリティグループが存在します。
攻撃者から不正な管理アクセスを受けるリスクが増大するため、送信元IPアドレスを絞り込むことが推奨されます。
RDS データの暗号化 RDSテーブル上に記録されたデータは、AES-256で暗号化し、不正アクセスや漏えいからデータを保護することが推奨されます。
S3 パブリックアクセスのブロック パブリックからのアクセスをブロックするオプションが有効化されていないS3バケットが存在した場合、本当にパブリックからのアクセスが必要かの見直しが推奨されます。これにより意図しないデータの外部への漏えいリスクを軽減させることが可能です。
CloudWatch 特定のイベントの監視 影響度の大きい特定の操作がAWS上で行われたときに管理者に通知を行うことで、監視を行うことが推奨されます。AWSのCloudWatch、CloudTrail、SNS機能を用いて実現が可能です。
CloudTrail 全リージョンでのCloudTrailの有効化 AWS上で行われた操作を後から追跡できるようにするために、CloudTrailは全てのリージョンで有効化して、監査ログを取得することが推奨されます。

サービスの流れ

AWSセキュリティ設定診断サービスの流れ

診断結果報告書

AWSセキュリティ設定診断サービス 診断結果報告書

脆弱性診断サービスに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第3営業部
    セキュリティプロダクツ営業2課

    03-4405-7814

メールでのお問い合わせ
watchfire@techmatrix.co.jp

お問い合わせ

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。