当エントリではクラスメソッドメンバーズが提供しているセキュアアカウントサービスの設定の切り戻し方法をご案内いたします。
設定の切り戻しを行うためには、オプトインの無効化とAWS側のサービスの無効化・停止を併せて行う必要があります。どちらかのみの操作だけでは、切り戻しが完了しません。
切り戻しの説明の前にセキュアアカウントについて簡単に説明します。切り戻しの手順から知りたい方はこちらからご参照ください。
セキュアアカウントについて
AWS請求代行サービスにご加入いただいたすべてのお客様に対して、AWSを利用する上で推奨されるセキュリティ設定を適用するサービスを行なっています。
ここでは、初期導入機能と設定維持機能に関して説明させていただきます。
セキュアアカウントの初期導入機能とは?
アカウント発行時点で、セキュリティに関するベストプラクティスをまるっと施した状態のAWSアカウントをお客様に提供するサービスです。
AWS請求代行サービスにご加入いただいたすべてのお客様にご利用いただける機能で、アカウント発行時にご利用いただけるサービスです。
初期導入機能をご利用いただくと、各サービスの設定維持機能が全てオンの状態でアカウントが発行されます。
セキュアアカウントの設定維持機能とは?
セキュアな環境をワンクリックで作成することができ、継続的にセキュアな環境を維持し最新の状態へ更新することのできるサービスです。
AWS請求代行サービスにご加入いただいたすべてのお客様にご利用いただける機能で、アカウント発行後でもクラスメソッドメンバーズポータルから設定を行うことができます。
個別に設定を行うことが可能で、設定をオンにすると以下の項目の内容を設定することができます。
| 項目 | 説明 |
|---|---|
| パスワードポリシー | こちらのポリシーに沿ってアカウントのパスワードポリシーが設定されます。より強いポリシーでの運用を行う場合は、チェックOFFにしてお客様で任意の設定を行ってください。 |
| AWS IAM Access Analyzer | IAMを始めS3やLambdaなど外部のリソースからアクセスできる設定になっているものを検知し、不要な権限を整理するために有効化します。詳細な設定はこちらで公開しています。追加料金はかかりません。 |
| AWS Compute Optimizer | EC2、EBS、Lambdaに過剰なスペックが割り当てられていないか確認できるようになります。料金はこちらで確認できます。 |
| AWS CloudTrail (ベーシック設定) | ベーシック設定では、東京リージョンで「すべてのリージョンに適用される証跡」を作成し有効化し、SSE-S3を使用してログファイルを暗号化します。データイベントは記録されません。弊社設定以外のお客様任意のCloudTrailを設定したい場合は、チェックOFFにしてください。証跡は1つまで無償となります。 |
| AWS Config (ベーシック設定) | ベーシック設定では、一部のサービスを対象にリソースの変更を記録します。お客様で任意のサービスを追加/削除する場合は、チェックOFFにしてください。料金はこちらをご確認ください。 |
| AWS CloudTrail(セキュア設定) | メンバーズ加入時に名称「Members」の証跡を作成します。セキュア設定では、SSE-KMSを使用してログファイルを暗号化します。また、ログの保存S3バケットが「cm-members-cloudtrail-xxxx」に設定されます。弊社設定以外のお客様任意のCloudTrailを設定したい場合は、チェックOFFにしてください。証跡は1つまで無償となりますので、お客様独自の証跡を作成後、members証跡を削除しても問題ありません。 |
| AWS Config(セキュア設定) | セキュア設定では、全てのサービスの変更を記録します。リソースの変更が多い環境では利用費にご注意ください。また、ログの保存バケットが「cm-members-config-xxxx」に設定されます。お客様で任意のサービスを追加/削除する・保存先バケットを指定したい場合は、チェックOFFにしてください。料金はこちらをご確認ください。 |
| EBSデフォルト暗号化 | Amazon EBSをデフォルトで暗号化します。詳細な設定内容はこちらをご確認ください。料金はこちらをご確認ください。 |
| Amazon EventBridge通知設定 | Amazon GuardDuty、AWS Security Hubのセキュリティアラート通知のためにAmazon EventBridgeを有効化します。詳細な設定はこちらをご確認ください。通知を受け取るためにはお客様による設定が必要ですのでユーザーガイドをご確認ください。通知発生ごとにSNS、Step Functionsの費用が発生します。 |
| Amazon GuardDuty | AWS上の脅威検知サービスとしてAmazon GuardDutyを有効化します。攻撃者による不正なAWSログインやコインマイニング、S3データ漏洩などを検知します。詳細な設定はこちらをご確認ください。費用はこちらをご確認ください。 |
| AWS Security Hub | AWS上の危険な設定を検知するためにAWS Security Hubによるスタンダードを設定します。うっかりSecurity GroupのSSHポートを 0.0.0.0/0 で開放したり、S3バケットを公開してしまったりという誤設定を検知します。詳細な設定はこちらをご確認ください。費用はこちらをご確認ください。 |
| Amazon Detective | インシデントが発生した場合に脅威を可視化するために有効にします。ログの詳細な調査や可視化を簡単に実現できます。詳細な設定はこちらをご確認ください。費用はこちらをご確認ください。 |
設定維持機能は週次で環境のチェックをしており、毎週土曜日の2:00以降、週末にわたって順次実行されます。 即時実行されるわけではございませんので、週明けに設定が適用されてるかご確認ください。
こちらの設定を無効化にしても、週次の設定維持の実施が無効化されるのみです。オフにした項目がAWS環境において停止・無効化される訳ではございません。
停止・無効化したい際にはこれから説明するAWS環境にて切り戻しの作業が必要になります。
オプトインとは?
オプトインとは設定維持機能の項目を有効化することです。
オプトインにより、メンバーズ推奨の設定による各種AWSサービスの有効化および、設定を継続的に自動でメンテナンスし最新の設定に保つことができます。
環境の切り戻しを行う際の注意点
コストや社内ルールなどの事情で環境の切り戻しが必要な際には注意点がございます。
繰り返しになりますが、オプトインを使って有効化したサービスを停止・無効化するには、オプトインの無効化とAWS側のサービスの無効化・停止を併せて行う必要があります。
表で表すと以下のような挙動となります。
環境の切り戻しを行う際にはピンクの箇所を目指す必要があります。
以下で詳細に説明させていただきます。
①「オプトイン有効化」・「AWS環境操作無し」の場合
セキュア環境が維持され毎週行われている、セキュリティ設定の有効化および設定内容の維持が実施されます。
完全にサービスを停止・無効化したい場合は、「AWSの各サービスの停止・無効化手順」と「オプトインの無効化手順」を参照して、AWS側のサービスを停止・無効化とオプトインを無効化するようにしてください。
②「オプトイン有効化」・「AWS環境サービス停止」の場合
AWS側のサービスを停止・無効化しますと、その時点でサービスが停止・無効化され課金も一時中断されます。
但し、オプトインが有効化されているままですと、設定維持機能により毎週土曜日にメンテナンスが実施され、再びサービスが有効化され課金が再開されます。
完全にサービスを停止・無効化したい場合は、「オプトインの無効化手順」を参照して、オプトインを無効化するようにしてください。
③「オプトイン無効化」・「AWS環境操作無し」の場合
オプトインを無効化すると毎週行われている、セキュリティ設定の有効化および設定内容の維持が実施されなくなります。
セキュリティ設定の有効化および設定内容の維持が停止するだけですので、AWS側のサービスは停止・無効化されません。
オプトインのみ無効化しても課金は継続されますので、ご注意ください。
完全にサービスを停止・無効化したい場合は、「AWSの各サービスの停止・無効化手順」を参照して、AWS側のサービスを停止・無効化するようにしてください。
④「オプトイン無効化」・「AWS環境サービス停止」の場合
AWS側のサービスが完全に停止し、設定維持機能によるセキュリティ設定の有効化および設定内容の維持が行われなくなります。
完全にサービスを停止・無効化された状態となります。
環境の切り戻し作業に関して
環境を切り戻すためには、「AWSの各サービスの停止・無効化手順」と「オプトインの無効化手順」を実施する必要があります。
「環境の切り戻しを行う際の注意点」をご参照の上、どの操作が必要か確認の上作業を実施してください。
AWSの各サービスの停止・無効化手順
各サービスの停止・無効化方法は以下をご参照の上、サービス毎に実施してください。
有効化していたサービス毎に操作がそれぞれ必要になります。
Amazon GuardDuty
AWS Security Hub
Amazon Detective
AWS CloudTrail
オプトインの無効化手順
今回はAWS Security Hubのオプトインを無効化する例で必要な作業を説明します。
メンバーズポータルサイトから対象のアカウントIDを選択します。
下記画面から、メンバーズサービス設定を選択します。
新しくタブが開かれるので、セキュリティ設定を選択します。
セキュア設定項目にて、「AWS Security Hub」の項目を無効化にて保存します。
1
