この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ご機嫌いかがでしょうか、豊崎です。
AWS Summitでリリースしたクラスメソッド謹製ツールinsightwatchを使ってみたシリーズです。無料で簡単に利用を開始できますので、ガンガンご利用くださいませ。そして、フィードバックや欲しい機能などごご要望くださいませ。セキュリティチェック以外のコスト見直しとかでもなんでも!
概要
IAMのパスワードポリシーって意識していますか?デフォルトのまま使っていませんでしょうか?いざセキュアなポリシーにしたいときに組織としての、基準はどのように設定するのでしょうか?
弊社のセキュリティ監査サービス「インサイトウォッチ (insightwatch)」を使えばCIS(国際インターネット・セキュリティ組織)のAmazon Web Service Foundations Benchmarkに従ったチェックが可能です。 https://insightwatch.io/
insightwatchでのチェック項目は以下です。
- CIS 1.5 IAMのパスワードポリシーにて「1文字以上の大文字」を有効にすること
- CIS 1.6 IAMのパスワードポリシーにて「1文字以上の小文字」を有効にすること
- CIS 1.7 IAMのパスワードポリシーにて「1文字以上の記号」を有効にすること
- CIS 1.8 IAMのパスワードポリシーにて「1文字以上の数字」を有効にすること
- CIS 1.9 IAMのパスワードポリシーにて「パスワードを14文字以上」を有効にすること
- CIS 1.10 IAMのパスワードポリシーにて「パスワードの再利用禁止」を有効にすること
- CIS 1.11 IAMのパスワードポリシーにて「90日以内のパスワード有効期限」を 有効にすること
※:AWSを契約したデフォルトの状態でもCIS1.5−1.8までは設定されているはずです。
以下記事で出力したレポートから現在、クリアできていない項目を設定していきたいと思います。
やってみた
それでは早速はじめていきましょう。
まずはレポートの内容を確認してみましょう。ここでは赤ワクで囲んだIAMのパスワードポリシーに関連する箇所を確認していきます。
重要の箇所が監査基準をクリアできていない項目です。
レポート結果のページからも確認できます。レポート結果には直近のチェック結果と、どのように修正すれば良いかが記載されています。
レポート結果をみる
IAMのパスワードポリシーにて「パスワードを14文字以上」を有効にすること
IAMのパスワードポリシーにて「パスワードの再利用禁止」を有効にすること
IAMのパスワードポリシーにて「90日以内のパスワード有効期限」を 有効にすること
AWS環境側で指摘箇所を設定する
それではAWSマネジメントコンソールからIAMダッシュボードを開き、アカウント設定を開きましょう。「インサイトウォッチ (insightwatch)」のレポートの1.5〜1.11では右ペインの赤ワクで囲った箇所の設定について監査が行われています。
それでは以下のように設定を行います。設定箇所は以下です。
- パスワードの最小長:8 -> 14
- パスワードの失効を許可:90
- パスワードの再利用を禁止
- 記憶するパスワードの数:24
設定できたところで、改めて「インサイトウォッチ (insightwatch)」のチェック実行を行なってみます。チェック方法についてはこちらをご参照ください。
無事、結果が正常になりました!
さいごに
IAMのパスワードポリシーのセキュリティについても「インサイトウォッチ (insightwatch)」は力を発揮します。もしIAM周りのセキュリティが心配な方はご利用してみてはいかがでしょうか?