developersIO
【Security Hub修復手順】[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください

【Security Hub修復手順】[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順
AWSAWS Security HubAmazon SQS
FacebookHatena blogX
2026.03.03

こんにちは!フニです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください

[SQS.3] SQS queue access policies should not allow public access

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon SQS キューのアクセスポリシーがパブリックアクセス(誰でもアクセスできる状態)を許可していないかどうかをチェックします。アクセスポリシーがパブリックアクセスを許可している場合、コントロールは失敗します。

SQS キューのアクセスポリシーでは、誰がそのキューに対して操作できるかを定義します。ポリシーの Principal 要素にワイルドカード(*)を指定し、かつアクセスを制限する適切な条件(Condition)を設定していない場合、そのキューは誰でもアクセスできる状態になります。

パブリックアクセスが許可されたまま運用すると、悪意のある第三者がキューからメッセージを受信してデータを窃取したり、不正なメッセージをキューに送り込んだり、アクセスポリシー自体を改ざんしたりする恐れがあります。また、大量のメッセージを送信されることでサービス拒否(DoS)攻撃を受ける可能性もあります。

対応する場合は、アクセスポリシーの Principal 要素を確認し、ワイルドカード(*)から特定の AWS アカウント ID や IAM ロール ARN に変更する必要があります。既存のアプリケーションやサービスがこのキューにアクセスしている場合、ポリシー変更によってアクセスが遮断される可能性があるため、事前にどのアカウントやサービスがキューを利用しているかを把握しておくことが重要です。

なお、このコントロールはポリシーの条件(Condition)にワイルドカード文字やポリシー変数が含まれている場合、その条件を評価しません。コントロールを PASSED にするためには、条件にワイルドカードやポリシー変数を含まない固定値のみを使用する必要があります。

詳細は以下の公式ドキュメントをご参照ください。

https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html

修復手順

1 ステークホルダーに確認

ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下の点を確認します。

  • 対象の SQS キューのアクセスポリシーを修正してパブリックアクセスを制限して良いか
    • アクセスポリシーの変更により、現在キューにアクセスしているアプリケーションやサービスの通信が遮断される可能性があります。事前にキューの利用者を確認してください。
    • 対応しない場合は、その理由を確認し、Security Hubで当該コントロールを「抑制済み」に設定します。

2 アクセスポリシーを修正する

  1. AWS マネジメントコンソールにサインインし、Amazon SQS コンソールを開きます。

CleanShot 2026-03-03 at 19.29.37@2x.png

  1. 左側のナビゲーションペインから「キュー」を選択し、対象のキュー名を押下して詳細画面を開きます。

CleanShot 2026-03-03 at 19.33.33@2x.png

  1. 「キューポリシー」タブから「アクセスポリシー」の編集を押下します。

CleanShot 2026-03-03 at 19.34.34@2x.png

  1. 「アクセスポリシー」セクションで、以下のいずれかの方法でポリシーを修正し、「保存」を押下します。

    • Principal 要素のワイルドカード(*)を、アクセスを許可する特定の AWS アカウント ID や IAM ロール ARN に変更する
    • Principal をワイルドカードのままにする必要がある場合は、Condition 要素で aws:SourceArnaws:SourceAccountaws:PrincipalOrgID などの条件を使用してアクセス元を固定値で制限する
    • 不要なステートメントは削除する

CleanShot 2026-03-03 at 19.38.17@2x.png

  1. アクセスポリシーの変更後、キューを利用しているアプリケーションやサービスが正常に動作していることを確認します。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、フニでした!

この記事をシェアする

FacebookHatena blogX

関連記事

【Security Hub修復手順】[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可するべきではありません
吉田 岳史
2025.04.01
【Security Hub CSPM修復手順】 [EC2.182] Amazon EBS スナップショットはパブリックからアクセス可能であってはなりません。
watabo / Wataru Takasato
2025.12.11
【Security Hub修復手順】[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスへのルートアクセスを持つべきではない
フニ
2026.03.02
【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません
吉田 岳史
2024.11.14