この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは!AWS事業本部のおつまみです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります
[IAM.5] MFA should be enabled for all IAM users that have a console password
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、コンソールパスワードを使用するすべての IAM ユーザーについて AWS 多要素認証 (MFA) が有効になっているかどうかをチェックします。
MFAは、ユーザー名とパスワードに更なる保護手段を追加します。
MFAを設定せず、パスワード認証のみにしている場合、パスワード流出による不正ログインが行われる可能性があります。
セキュリティ強化のためにも、可能な限り対応しましょう。
修正手順
1. 非準拠のIAMユーザーを特定
- AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「IAM.5」を検索します。タイトルを選択します。
-
失敗しているIAMユーザーを選択します。
-
[アクセス権限][グループ][タグ]タブ等の情報から、非準拠のIAMユーザーに紐づいているメンバを特定します。
2. MFAの設定
1. 非準拠のIAMユーザーに紐づいているメンバにて、MFAを設定します。設定は下記のブログに従って、実施して下さい。
2. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
20
