【Security Hub修復手順】[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
特集

おつまみ

2022.12.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります [IAM.8] Unused IAM user credentials should be removed

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、IAM ユーザーが 90 日間使用されていないパスワードまたはアクティブなアクセスキーを持っているかどうかをチェックします。

不要な認証情報を保持し続けると、放棄されたアカウントに関連付けられている認証情報が意図せず使用される可能性があります。
不正利用防止のためにも、可能な限り対応しましょう。

修正手順

1. ステークホルダーに確認

  1. まずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
  • 非準拠のIAMユーザー認証情報(パスワード及びアクセスキー)が必要かどうか。
    • 必要な場合、そのIAMユーザーに紐づくユーザーにて以下のいずれかのアクションが必要となります。
      • AWSマネジメントコンソールへのサインイン(パスワードの利用)
      • AWS Command Line Interface もしくは AWS Tools for PowerShell によるプログラム的なアクセス(アクセスキーの利用)
    • 必要ない場合、[2.IAMユーザー認証情報の無効化]を実施して下さい。コントロールのタイトルは「IAM ユーザー認証情報の削除」となっていますが、対応としては「無効化」で問題ありません。

2. IAMユーザー認証情報の無効化

  1. AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「IAM.8」を検索します。タイトルを選択します。

  2. 失敗しているIAMユーザーを選択します。

  3. 90 日を超えた認証情報を持つユーザーの名前を選択します。

  4. [認証情報]タブを選択します。

・パスワードの無効化の場合
5.1 [コンソールのパスワード]の[管理]を選択します。

5.2 [コンソールへのアクセス]の[無効化]を選択し、[適用]を選択します。

5.3 [コンソールのパスワード]が[無効]になったことを確認します。

・アクセスキーの無効化の場合
6.1 アクセスキーのステータスで[無効化]を選択します。

6.2 [無効化]を選択します。

6.3 アクセスキーのステータスが[無効]になったことを確認します。

7. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。
※リソースの更新には数分、ステータスの更新には1日程度かかります。

8. IAMユーザー認証情報を無効化したことで業務・システム影響などが出ていないことを確認します。影響が出ていないことを確認後、[3. IAMユーザー認証情報の削除]を実施します。何らかの影響が生じた場合、[4. 切戻手順(IAMユーザー認証情報の有効化)]を実施します。

3. IAMユーザー認証情報の削除

・IAMユーザーの削除の場合(アクセスキーも同時に削除されます)
1.1 [ユーザーの削除]を選択します。

1.2 注意文言にチェックをつけ、[はい、削除します]を選択します。

1.3 対象のユーザーが削除されたことを確認します。

・アクセスキーの削除のみの場合
2.1 対象のアクセスキーの右端にある[✖︎]を選択します。

2.2 テキスト入力フィールドにアクセスキーIDを入力し、[削除]を選択します。

2.3 アクセスキーが削除されたことを確認します。

4. 切戻手順(IAMユーザー認証情報の有効化)

・パスワードの有効化の場合
1.1 [コンソールのパスワード]の[管理]を選択します。

1.2 [コンソールへのアクセス]の[有効化]を選択し、[適用]を選択します。[パスワードの設定]および[パスワードのリセットが必要]のチェックは任意です。

1.3 新しいパスワードが表示されます。[表示]もしくは[.csvファイルのダウンロード]からパスワードを取得します。パスワードはこの画面でのみ取得可能であるため、誤ってすぐに[閉じる]を選択しないようにしましょう。

1.4 IAMユーザーに紐づくユーザーにて、AWSマネジメントコンソールへのサインインを実施します。

・アクセスキーの有効化の場合
2.1 アクセスキーのステータスで[有効化]を選択します。

2.2 ステータスが[有効]になったことを確認します。

2.3 対象のアクセスキーでIAWS Command Line Interface もしくは AWS Tools for PowerShell によるアクセスを実施します。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

AWS

関連記事

AWS入門ブログリレー2024〜Agents for Amazon Bedrock編〜

青柳英明

2024.04.24

クライアントと ALB の TLS バージョンネゴシエーションの様子を Wireshark で確認してみた

いわさ

2024.04.23

Amplify Gen2でカスタムドメインを指定してみた

中村佳央

2024.04.23

AI サービスで使用するデータは AWS 側に保存されますか?

Nakamura Makoto

2024.04.23