
セキュアアカウントで満たせるAWSアカウントベースライン設定を調べてみた ~2025年7月版~
こんにちは!クラウド事業本部のおつまみです。
みなさん、AWSを利用する上でのガイドラインはお持ちですか?
最近、AWSガイドライン策定支援をしており、クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」のコンテンツの1つである、AWS利用ガイドラインサンプルに基づいてガイドラインを執筆しています。
ガイドラインの項目に「AWSアカウントベースライン設定」があり、ふと「これらの設定って、クラスメソッドメンバーズのセキュアアカウントを使えばどのくらいカバーできるんだろう?」と気になりました。
そこで今回は、AWSアカウントベースライン設定の各項目が、セキュアアカウントでどの程度満たせるのか調べてみました!
結論
- 6/10項目はセキュアアカウントでカバーされる。
- カバーされない項目は追加で実装/設定が必要になる。
- セキュアな環境でアカウントを使い始めるためにも、新規アカウントはセキュアカウントで発行しましょう!
セキュアアカウントとは?
セキュアアカウントは、クラスメソッドメンバーズご加入のお客様全てにご利用いただけるサービスで、AWSが推奨するセキュリティベストプラクティスな設定をAWSアカウントに適用できます。
主な特徴
- AWS Security Hubのセキュリティスコアが最初から90%超の状態でスタート
- 毎週土曜日の自動メンテナンスでセキュアな状態を維持
- 各種AWSサービス利用費のみで、設定手数料は無料
- クラウド利用におけるインシデント原因の80%を事前に回避または軽減
詳細はこちらのブログをご参考ください。
AWSアカウントベースライン設定について
以下がAWSアカウント発行時に設定すべきアカウントベースライン設定のサンプルです。
あくまでサンプルのため組織のセキュリティポリシーなどがある場合、その他項目もご検討ください。
項番 | 項目 | 概要(ベースライン設定要件) | 導入方針 |
---|---|---|---|
1 | AWS CloudTrail | ・東京リージョンで「すべてのリージョンに適用される証跡」を作成し有効化 ・「読み取り」と「書き込み」の管理イベントを含める ・ログファイルはSSE-KMSで暗号化 ・ログファイル検証を有効化 |
必須 |
2 | AWS Config | ・すべてのリージョンで有効化 ・記憶するリソースタイプにはすべてのリソースタイプを含め、東京リージョンのみでグローバルリソースを含める ・配信チャンネルはSSE-KMSで暗号 |
必須 |
3 | CloudTrail証跡, Configログ保管用S3 | ・ログ集約アカウントに転送する設定 ・SSE-KMSによるデフォルト暗号化 ・3年間データを保持するライフサイクルポリシー設定 |
必須 |
4 | Amazon S3 | ・アカウントレベルのブロックパブリックアクセスを有効化 | 必須 |
5 | Amazon EC2 | ・すべてのリージョンで EBS デフォルト暗号化を有効化 ・すべてのリージョンで EBS のパブリック共有のブロック設定 ・すべてのリージョンで IMDSv2 をデフォルトに設定 |
必須 |
6 | Amazon VPC | ・すべてのリージョンでデフォルトVPCを削除 | 必須 |
7 | AWS Security Hub | ・すべてのリージョンで有効化 ・セキュリティ基準「AWS 基礎セキュリティのベストプラクティス」を有効化 ・非推奨のコントロールを無効化 ・通知設定 |
必須 |
8 | Amazon GuardDuty | ・すべてのリージョンで有効化 ・S3/Kubernetes/RDS/Lambda Protectionを有効化 ・Malware Protectionを有効化 ・通知設定 |
必須 |
9 | Amazon Detective | ・すべてのリージョンで有効化 | 推奨 |
10 | IAM Access Analyzer | ・すべてのリージョンで有効化 | 必須 |
AWSアカウントベースライン設定とセキュアアカウントの対応表
それでは、各ベースライン設定項目がセキュアアカウントでどの程度カバーされているか見ていきましょう!
項番 | 項目 | 概要(ベースライン設定要件) | セキュアアカウント対応状況 | 備考 |
---|---|---|---|---|
1 | AWS CloudTrail | ・東京リージョンで「すべてのリージョンに適用される証跡」を作成し有効化 ・「読み取り」と「書き込み」の管理イベントを含める ・ログファイルはSSE-KMSで暗号化 ・ログファイル検証を有効化 |
完全対応 | ・全リージョンで有効化 ・SSE-KMS暗号化済み(カスタマーマネージドキー使用) ・ログファイル検証も有効 |
2 | AWS Config | ・すべてのリージョンで有効化 ・記憶するリソースタイプにはすべてのリソースタイプを含め、東京リージョンのみでグローバルリソースを含める ・配信チャンネルはSSE-KMSで暗号化 |
完全対応 | ・全リージョンで有効化 ・全リソースタイプを記録 ・SSE-KMS暗号化済み |
3 | CloudTrail証跡, Configログ保管用S3 | ・ログ集約アカウントに転送する設定 ・SSE-KMSによるデフォルト暗号化 ・3年間データを保持するライフサイクルポリシー設定 |
部分対応 | ・SSE-KMS暗号化とライフサイクルポリシーは対応 ・ログ集約アカウントへの転送は個別設定が必要 |
4 | Amazon S3 | ・アカウントレベルのブロックパブリックアクセスを有効化 | 完全対応 | ・S3公開設定ブロックが標準設定として含まれる |
5 | Amazon EC2 | ・すべてのリージョンで EBS デフォルト暗号化を有効化 ・すべてのリージョンで EBS のパブリック共有のブロック設定 ・すべてのリージョンで IMDSv2 をデフォルトに設定 |
部分対応 | ・EBS暗号化は対応 ・EBS のパブリック共有のブロック設定とIMDSv2は未設定 |
6 | Amazon VPC | ・すべてのリージョンでデフォルトVPCを削除 | 完全対応 | ・デフォルトVPC削除が標準設定として含まれる |
7 | AWS Security Hub | ・すべてのリージョンで有効化 ・セキュリティ基準「AWS 基礎セキュリティのベストプラクティス」を有効化 ・非推奨のコントロールを無効化 ・通知設定 |
部分対応 | ・全リージョンで有効化 ・AWS基礎セキュリティのベストプラクティスv1.0.0を有効化 ・通知設定は初期設定後に要追加設定 |
8 | Amazon GuardDuty | ・すべてのリージョンで有効化 ・S3/Kubernetes/RDS/Lambda Protectionを有効化 ・Malware Protectionを有効化 ・通知設定 |
部分対応 | ・全リージョンで有効化 ・各種Protectionも有効化 ・通知設定は初期設定後に要追加設定 |
9 | Amazon Detective | ・すべてのリージョンで有効化 | 完全対応 | ・GuardDutyと連携して脅威の調査を支援 |
10 | IAM Access Analyzer | ・すべてのリージョンで有効化 | 完全対応 | ・全リージョンで有効化(無料サービス) ・外部アクセス設定を検知 |
こちらの表かわかるように、6項目はセキュアアカウントでカバーされることがわかりました。
部分対応も考慮すると、8割ほどの項目はセキュアアカウントでカバーされそうです。
セキュアアカウント導入後に必要な追加作業
セキュアアカウントで多くの設定がカバーされますが、以下の作業は別途必要です。
1. CloudTrailとConfigのログを集約アカウントへ転送する設定(推奨)
複数のAWSアカウントを運用する場合、各アカウントのCloudTrailとConfigのログを集約アカウントに転送することで、セキュリティ監視を効率化できます。
参考:
- 複数のアカウントから CloudTrail ログファイルを受け取る - AWS CloudTrail
- AWS Config のマルチアカウントマルチリージョンデータ集約 - AWS Config
- CloudTrail証跡をS3レプリケーションで集約管理してみた | DevelopersIO
2. EBS のパブリック共有のブロック設定(必須)
EBSスナップショットが誤って公開されることを防ぐため、全リージョンでEBSのパブリック共有をブロックする設定を手動で有効化する必要があります。この設定はAWS CLIやCloudFormationを利用することで全リージョンに適用でき、データ漏洩リスクを大幅に軽減できます。
参考:
- [アップデート] CloudFormation で EBS のブロックパブリックアクセスを管理できるようになりました | DevelopersIO
- [アップデート] EBS スナップショットのパブリック共有をアカウントレベルでブロックする機能が追加されました。 | DevelopersIO
3. IMDSv2の有効化(環境による)
IMDSv2はSSRF攻撃への耐性が向上し、メタデータサービスのセキュリティを強化できます。
動作環境が整備されている場合は、EC2インスタンスでIMDSv2を有効化することを推奨します。ただし、既存アプリケーションの動作確認が必要なため、十分な検証を行った上で実装してください。
参考:
- [待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました! | DevelopersIO
- EC2のインスタンスメタデータ(IMDS)をv2に移行する手順をまとめてみた | DevelopersIO
4. 通知設定(必須)
セキュアアカウントでは各種セキュリティサービスが有効化されていますが、初期状態では以下のサービスの通知先が未登録です。
- Security Hub
- GuardDuty
- IAM Access Analyzer
簡単なメール/Slack/Teams通知設定するためのCloudFormationテンプレートをご用意しています。詳細は設定方法はメンバーズ仕様書をご参考ください。
セキュリティアラート通知設定 | Classmethod Members
まとめ
調査の結果、AWSアカウントベースライン設定の10項目中6項目が、セキュアアカウントで完全にカバーされることが分かりました!
残りの4項目も部分的には対応されており、追加の設定を行うことで、すべてのアカウントベースライン要件を満たすことができます。
メンバーズのお客様はセキュアアカウントの活用をぜひご検討ください!
セキュアアカウント発行サービスに関するFAQ – クラスメソッド株式会社
※クラスメソッドメンバーズポータル(CMP)へのログインが必要です。
最後までお読みいただきありがとうございました!
以上、おつまみ(@AWS11077)でした!