セキュアアカウントで満たせるAWSアカウントベースライン設定を調べてみた ~2025年7月版~

セキュアアカウントで満たせるAWSアカウントベースライン設定を調べてみた ~2025年7月版~

2025.07.31

こんにちは!クラウド事業本部のおつまみです。

みなさん、AWSを利用する上でのガイドラインはお持ちですか?

最近、AWSガイドライン策定支援をしており、クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」のコンテンツの1つである、AWS利用ガイドラインサンプルに基づいてガイドラインを執筆しています。

ガイドラインの項目に「AWSアカウントベースライン設定」があり、ふと「これらの設定って、クラスメソッドメンバーズのセキュアアカウントを使えばどのくらいカバーできるんだろう?」と気になりました。

そこで今回は、AWSアカウントベースライン設定の各項目が、セキュアアカウントでどの程度満たせるのか調べてみました!

結論

  • 6/10項目はセキュアアカウントでカバーされる。
  • カバーされない項目は追加で実装/設定が必要になる。
  • セキュアな環境でアカウントを使い始めるためにも、新規アカウントはセキュアカウントで発行しましょう!

セキュアアカウントとは?

セキュアアカウントは、クラスメソッドメンバーズご加入のお客様全てにご利用いただけるサービスで、AWSが推奨するセキュリティベストプラクティスな設定をAWSアカウントに適用できます。

主な特徴

  • AWS Security Hubのセキュリティスコアが最初から90%超の状態でスタート
  • 毎週土曜日の自動メンテナンスでセキュアな状態を維持
  • 各種AWSサービス利用費のみで、設定手数料は無料
  • クラウド利用におけるインシデント原因の80%を事前に回避または軽減

詳細はこちらのブログをご参考ください。
https://dev.classmethod.jp/articles/secure-account-seminar-materials/

AWSアカウントベースライン設定について

以下がAWSアカウント発行時に設定すべきアカウントベースライン設定のサンプルです。
あくまでサンプルのため組織のセキュリティポリシーなどがある場合、その他項目もご検討ください。

項番 項目 概要(ベースライン設定要件) 導入方針
1 AWS CloudTrail ・東京リージョンで「すべてのリージョンに適用される証跡」を作成し有効化
・「読み取り」と「書き込み」の管理イベントを含める
・ログファイルはSSE-KMSで暗号化
・ログファイル検証を有効化
必須
2 AWS Config ・すべてのリージョンで有効化
・記憶するリソースタイプにはすべてのリソースタイプを含め、東京リージョンのみでグローバルリソースを含める
・配信チャンネルはSSE-KMSで暗号
必須
3 CloudTrail証跡, Configログ保管用S3 ・ログ集約アカウントに転送する設定
・SSE-KMSによるデフォルト暗号化
・3年間データを保持するライフサイクルポリシー設定
必須
4 Amazon S3 ・アカウントレベルのブロックパブリックアクセスを有効化 必須
5 Amazon EC2 ・すべてのリージョンで EBS デフォルト暗号化を有効化
・すべてのリージョンで EBS のパブリック共有のブロック設定
・すべてのリージョンで IMDSv2 をデフォルトに設定
必須
6 Amazon VPC ・すべてのリージョンでデフォルトVPCを削除 必須
7 AWS Security Hub ・すべてのリージョンで有効化
・セキュリティ基準「AWS 基礎セキュリティのベストプラクティス」を有効化
・非推奨のコントロールを無効化
・通知設定
必須
8 Amazon GuardDuty ・すべてのリージョンで有効化
・S3/Kubernetes/RDS/Lambda Protectionを有効化
・Malware Protectionを有効化
・通知設定
必須
9 Amazon Detective ・すべてのリージョンで有効化 推奨
10 IAM Access Analyzer ・すべてのリージョンで有効化 必須

AWSアカウントベースライン設定とセキュアアカウントの対応表

それでは、各ベースライン設定項目がセキュアアカウントでどの程度カバーされているか見ていきましょう!

項番 項目 概要(ベースライン設定要件) セキュアアカウント対応状況 備考
1 AWS CloudTrail ・東京リージョンで「すべてのリージョンに適用される証跡」を作成し有効化
・「読み取り」と「書き込み」の管理イベントを含める
・ログファイルはSSE-KMSで暗号化
・ログファイル検証を有効化
完全対応 ・全リージョンで有効化
・SSE-KMS暗号化済み(カスタマーマネージドキー使用)
・ログファイル検証も有効
2 AWS Config ・すべてのリージョンで有効化
・記憶するリソースタイプにはすべてのリソースタイプを含め、東京リージョンのみでグローバルリソースを含める
・配信チャンネルはSSE-KMSで暗号化
完全対応 ・全リージョンで有効化
・全リソースタイプを記録
・SSE-KMS暗号化済み
3 CloudTrail証跡, Configログ保管用S3 ・ログ集約アカウントに転送する設定
・SSE-KMSによるデフォルト暗号化
・3年間データを保持するライフサイクルポリシー設定
部分対応 ・SSE-KMS暗号化とライフサイクルポリシーは対応
・ログ集約アカウントへの転送は個別設定が必要
4 Amazon S3 ・アカウントレベルのブロックパブリックアクセスを有効化 完全対応 ・S3公開設定ブロックが標準設定として含まれる
5 Amazon EC2 ・すべてのリージョンで EBS デフォルト暗号化を有効化
・すべてのリージョンで EBS のパブリック共有のブロック設定
・すべてのリージョンで IMDSv2 をデフォルトに設定
部分対応 ・EBS暗号化は対応
・EBS のパブリック共有のブロック設定とIMDSv2は未設定
6 Amazon VPC ・すべてのリージョンでデフォルトVPCを削除 完全対応 ・デフォルトVPC削除が標準設定として含まれる
7 AWS Security Hub ・すべてのリージョンで有効化
・セキュリティ基準「AWS 基礎セキュリティのベストプラクティス」を有効化
・非推奨のコントロールを無効化
・通知設定
部分対応 ・全リージョンで有効化
・AWS基礎セキュリティのベストプラクティスv1.0.0を有効化
・通知設定は初期設定後に要追加設定
8 Amazon GuardDuty ・すべてのリージョンで有効化
・S3/Kubernetes/RDS/Lambda Protectionを有効化
・Malware Protectionを有効化
・通知設定
部分対応 ・全リージョンで有効化
・各種Protectionも有効化
・通知設定は初期設定後に要追加設定
9 Amazon Detective ・すべてのリージョンで有効化 完全対応 ・GuardDutyと連携して脅威の調査を支援
10 IAM Access Analyzer ・すべてのリージョンで有効化 完全対応 ・全リージョンで有効化(無料サービス)
・外部アクセス設定を検知

こちらの表かわかるように、6項目はセキュアアカウントでカバーされることがわかりました。
部分対応も考慮すると、8割ほどの項目はセキュアアカウントでカバーされそうです。

セキュアアカウント導入後に必要な追加作業

セキュアアカウントで多くの設定がカバーされますが、以下の作業は別途必要です。

1. CloudTrailとConfigのログを集約アカウントへ転送する設定(推奨)

複数のAWSアカウントを運用する場合、各アカウントのCloudTrailとConfigのログを集約アカウントに転送することで、セキュリティ監視を効率化できます。

参考:

2. EBS のパブリック共有のブロック設定(必須)

EBSスナップショットが誤って公開されることを防ぐため、全リージョンでEBSのパブリック共有をブロックする設定を手動で有効化する必要があります。この設定はAWS CLIやCloudFormationを利用することで全リージョンに適用でき、データ漏洩リスクを大幅に軽減できます。

参考:

3. IMDSv2の有効化(環境による)

IMDSv2はSSRF攻撃への耐性が向上し、メタデータサービスのセキュリティを強化できます。
動作環境が整備されている場合は、EC2インスタンスでIMDSv2を有効化することを推奨します。ただし、既存アプリケーションの動作確認が必要なため、十分な検証を行った上で実装してください。

参考:

4. 通知設定(必須)

セキュアアカウントでは各種セキュリティサービスが有効化されていますが、初期状態では以下のサービスの通知先が未登録です。

  • Security Hub
  • GuardDuty
  • IAM Access Analyzer

簡単なメール/Slack/Teams通知設定するためのCloudFormationテンプレートをご用意しています。詳細は設定方法はメンバーズ仕様書をご参考ください。
セキュリティアラート通知設定 | Classmethod Members

まとめ

調査の結果、AWSアカウントベースライン設定の10項目中6項目が、セキュアアカウントで完全にカバーされることが分かりました!
残りの4項目も部分的には対応されており、追加の設定を行うことで、すべてのアカウントベースライン要件を満たすことができます。

メンバーズのお客様はセキュアアカウントの活用をぜひご検討ください!

セキュアアカウント発行サービスに関するFAQ – クラスメソッド株式会社 
※クラスメソッドメンバーズポータル(CMP)へのログインが必要です。

最後までお読みいただきありがとうございました!

以上、おつまみ(@AWS11077)でした!

この記事をシェアする

facebookのロゴhatenaのロゴtwitterのロゴ

© Classmethod, Inc. All rights reserved.