developersIO
【Security Hub修復手順】[Cognito.3] Cognitoユーザープールのパスワードポリシーには強力な設定が必要です

【Security Hub修復手順】[Cognito.3] Cognitoユーザープールのパスワードポリシーには強力な設定が必要です

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
AWS Security HubAmazon Cognito
2026.06.29

こんにちは!クラウド事業本部コンサルティング部の村瀬です。

皆さん、お使いの AWS 環境のセキュリティチェックはしていますか?

本記事では、AWS Security Hub による AWS 環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です

[Cognito.3] Password policies for Cognito user pools should have strong configurations

https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cognito-controls.html#cognito-3

前提条件

本記事は AWS Security Hub で「AWS 基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hub の詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon Cognito ユーザープールのパスワードポリシーが、強力なパスワードを要求する設定になっているかをチェックします。

具体的には、以下の推奨設定を満たしている場合に成功(PASSED)します。

  • パスワードの最小文字数が8文字以上であること
  • 大文字・小文字・数字・記号をそれぞれ1文字以上要求すること
  • 管理者が発行する一時パスワードの有効期限が既定値(7日)以内であること

なお、これらの基準値は Security Hub のコントロールパラメータでカスタマイズできます。自組織のパスワード標準に合わせた値を設定している場合は、その値を基準に評価されます(カスタマイズ方法は後述します)。

パスワードポリシーが弱いと、総当たり攻撃やパスワードリスト攻撃によってパスワードが容易に推測され、認証情報の漏洩やアカウント乗っ取りにつながります。特にインターネットに公開されたアプリケーションのユーザープールではリスクが高いため、強力なパスワードポリシーの設定をおすすめします。

コントロールの確認方法

  1. Security Hub コンソールを開く

  2. 左メニューから「検出結果」を選択

    image01-securityhub-findings-menu

  3. フィルターで対象のコントロールID「Cognito.3」を検索

    image02-securityhub-filter-cognito-3

  4. 検出結果の詳細を確認

    image03-securityhub-finding-detail

ステークホルダーに確認

修復を行う前に、以下の点をステークホルダーに確認してください。

  • パスワードポリシーを強化することで、新しいポリシーに準拠しないパスワードでの新規サインアップ・パスワードリセットができなくなること(既存ユーザーの現在のパスワードには影響しません)
  • アプリケーション側でパスワード要件を独自に表示・バリデーションしている場合は、表示内容の更新が必要になる可能性があること
  • 自組織のパスワード標準が、本コントロールの推奨設定(8文字以上+4種の文字種)と整合しているか

修復手順

ここではマネジメントコンソールでの修復手順を紹介します。パスワードポリシーの各設定項目の詳細は、Amazon Cognito 公式ドキュメントのユーザープールのパスワード要件の追加も参照してください。

  1. Amazon Cognito コンソールを開く

  2. 「ユーザープール」から対象のユーザープールを選択する

    image04-cognito-select-userpool

  3. 「認証方法」メニューを開き、「パスワードポリシー」セクションの「編集」を選択する

    image05-cognito-authentication-methods
    image06-cognito-password-policy-edit

  4. 「パスワードポリシーモード」で「Cognito のデフォルト」を選択する

    image07-cognito-password-policy-mode-default

  1. 「変更を保存」を選択する

    image09-cognito-save-changes

修復確認

修復後、Security Hub で検出結果が「PASSED」になることを確認します。

image10-securityhub-finding-passed

Security Hub の検出結果が更新されるまで時間がかかる場合があります(変更検知型のため、設定変更後しばらくお待ちください)。

カスタムコントロールパラメータについて

本コントロールは、評価に使用する基準値をパラメータでカスタマイズできます。自組織のパスワード標準に合わせて、以下のパラメータを変更できます。

パラメータ 内容 デフォルト値
minLength パスワードの最小文字数 8
requireUppercase 大文字を必須にするか True
requireLowercase 小文字を必須にするか True
requireNumbers 数字を必須にするか True
requireSymbols 記号を必須にするか True
temporaryPasswordValidity 一時パスワードの有効期限(日数) 7

パラメータは Security Hub コンソールの「コントロール」から対象コントロールを開き、「パラメータの編集」で変更できます。

image11-securityhub-control-parameters

最後に

今回は、AWS Security Hub による AWS 環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介しました。

コントロールを修復して、お使いの AWS 環境のセキュリティをパワーアップさせましょう!

参考リンク

AWS Security Hub 「基礎セキュリティのベストプラクティス」シリーズをご覧のあなたに特報!

本シリーズで紹介している各チェック項目(コントロール)について、推奨される対応方法や見解のまとめは、クラスメソッド経由でAWSをご活用されているお客様向けに特別公開しております。この機会にぜひ併せてご検討ください。

クラスメソッドのAWS総合支援を見る

何が提供されるの?

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

【Security Hub修復手順】[ Cognito.1 ] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります
平井裕二
2025.05.28
[アップデート]AWS Security Hub CSPMのセキュリティ標準に新たに6個のチェック項目が追加されてました(2025/10/28)
おつまみ
2025.11.14
[アップデート]Security Hub のセキュリティ標準に新たに12個のチェック項目が追加されました(2025/07/15)
すらぼ
2025.09.02
Amazon Cognito ユーザープールでパスワードポリシーを変更後に既存のパスワードでのログインはできますか?
MN
2026.02.25