MFA未設定のIAMユーザを作成しSecurity Hubに検知させてみた

MFA未設定のIAMユーザを作成しSecurity Hubに検知させてみた

#AWS Security Hub
#AWS
和田響

和田響

facebook logohatena logotwitter logo
Clock Icon2023.11.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは!AWS事業本部コンサルティング部の和田響です。
この記事ではMFA認証の設定をしていないIAMユーザを作成しSecurity Hubに検知させる方法とともに、なぜMFA認証すべきかを記載します。

Security Hubとは

公式ページには以下のように記されています。

AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。

ざっくりいうと、「危険な設定を検知・管理し、AWS全体のセキュリティを向上させるためにサービス」です。
Security Hubの詳細についてはこちらの記事が参考になりますので、ぜひ一読ください!

なぜMFA認証をすべきか?

多要素認証 (MFA)とは、ユーザーが単なるパスワードよりも多くの情報を入力する必要がある複数ステップのアカウントログインプロセスです。つまりMFA認証の設定をすると、ログインの際にユーザー名・パスワードに加えて追加の情報が必要になります。
そうすることで、ユーザ名・パスワードが悪意のある第三者に漏洩した場合でも、権限のないユーザがアカウントにアクセスすることを防ぐことができます。
反対にもしMFA認証を設定していないと、ユーザ名・パスワードが悪意のある第三者に漏洩した場合に不正なアクセスを許すことになります。

やってみる

AWS Configを有効化する

Security Hubを使用知るためにはAWS Configを有効化する必要があるので、有効化していきます。
まずはAWSコンソールより「AWS Config」を開きます。


「1-click セットアップ」を押します。


「確認」を押し、文字通りワンクリックでAWS Configを有効化します。

Security Hubを有効化する

Security Hubの有効化はコンソールから数クリックでできます!

まずはAWSコンソールより「Security Hub」を開きます。

「Security Hubに移動」を押します。

有効化するセキュリティ標準を選択し(今回はデフォルトのまま)、「Security Hubの有効化」を押します。

このような画面が出てくれば設定完了です!!

コンソールの見方などこちらの記事に詳しく記載してありますのでぜひ一読ください!

MFA未設定のIAMユーザを作成する

AWSコンソールより「IAM」-「ユーザー」を開きます。

「ユーザーの作成」を押します。

任意のユーザ名を入力します。
「AWS マネジメントコンソールへのユーザーアクセスを提供する」にチェックを入れます。

内容を確認して「ユーザーの作成」を押します。

忘れずに.scvファイルをダウンロードします!


Security Hubを確認する

IAMユーザを作成してから少し経つとSecurity Hubの検出結果で「IAM.5 MFA should be enabled for all IAM users that have a console password」というタイトルのステータスがFAILEDになっているはずです!私の場合はユーザ作成から2時間ほどで検知しました。

このタイトルではコンソールにログインするすべての IAMユーザーに対してMFA認証が有効になっているかどうかをチェックし、もし有効化されていないアカウントがある場合ステータスがFAILED(失敗)になります。

MFAを有効化する

AWSコンソールより「IAM」-「ユーザー」より、先ほど作成したユーザーを選択します。

「セキュリティ認証情報」タブを開き、「MFAデバイスの設定」を押します。

デバイス名を入力し、「次へ」を押します。

認証アプリでQRコードを読み込み、ワンタイムパスワードを入力し、「MFAを追加」を押します。

Security Hubを再度確認する

MFA認証の設定ができたら、Security Hubの検出結果を再度確認します。

先ほどFAILED(失敗)になっていた「IAM.5 MFA should be enabled for all IAM users that have a console password」のステータスが、PASSED(成功)になっています。

これでMFA認証および、Security Hubの対応は完了です!

最後に

今回はSecurity Hubの検出結果を元にMFA認証の重要さについて記載してみました。
みなさん、MFA認証は絶対に設定しましょう!何かあってからでは遅いのです!!

この記事がどなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]Security Hub のセキュリティ標準に新たに5個のチェック項目が追加されました(2024/11/15)

[アップデート]Security Hub のセキュリティ標準に新たに5個のチェック項目が追加されました(2024/11/15)

User avatar
吉田 岳史
2024.11.22
Amazon Inspectorで単一リソースのスキャン結果の作成日時にずれがあるかを確認してみた

Amazon Inspectorで単一リソースのスキャン結果の作成日時にずれがあるかを確認してみた

User avatar
平井裕二
2024.11.22
Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

Amazon Inspectorの検出結果をリソース単位でまとめてメール通知する方法

User avatar
平井裕二
2024.11.21
【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.