[insightwatch]AWS利用者は必ず実施!!MFAの有効化、今すぐチェック!! #AWSSummit

insightwatchを使って、MFAが無効なアカウントを洗い出ししてみたブログです。
2018.05.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

コンニチハ、千葉です。

AWS Summitでリリースしたクラスメソッド謹製ツールinsightwatchを使ってみたシリーズです。無料で簡単に利用を開始できますので、ガンガンご利用くださいませ。そして、フィードバックや欲しい機能などごご要望くださいませ。セキュリティチェック以外のコスト見直しとかでもなんでも!

AWSユーザー必携「小さな発見、大きな安心」インサイトウォッチをリリースしました

概要

MFAを有効化していますか?オンプレと違って、AWSはWebブラウザまたはAPIやSDKを使って操作することが可能です。え?、インターネット経由で操作できるのセキュリティ大丈夫?と思われる方へ。クラウドのメリットとセキュリティを天秤にかけるのではなく、クラウドのメリットを得た上で上でセキュリティも強化するって考え方もあるんです。よくばりましょう。 ということで、このMFA設定は基本中の基本で、必ず有効化しましょう。多要素認証であるMFAを導入することで、不正利用の対策を行います。

insightwatchでのチェック項目は以下です。

  • CIS 1.2 コンソールログイン用のパスワードが設定されたIAMユーザにMFAが有効化されていること
  • CIS 1.13 rootアカウントがMFAにより保護されていること
  • CIS 1.14 rootアカウントがハードウェアMFAにより保護されていること

MFAが無効なユーザーを洗い出してみた

insightwatchでAWSアカウントを連携し、チェックを実行します。insightwatchは複数のAWSアカウントを統合的にチェックできるので、複数のAWSアカウントであっても簡単に面倒なくチェックすることができます。

まずは、MFAが設定されていないユーザーを確認してみます。

MFAが有効でないユーザー一覧が表示されています。こちらを参考にMFAを有効化しましょう!次は、rootアカウントのMFA確認です。

rootアカウントのMFAが無効になっているAWSアカウント一覧が表示されます。こちらはいますぐ対応しましょう!!rootアカウントは強力な権限を持ちます。また、基本的にrootアカウントは利用せずIAMを利用します。IAMのベストプラクティスです。

次の項目は、rootアカウントでハードウェアMFAを使っているかという項目です。

ハードウェアMFAにはちょっと注意ポイントがあります。それは、1つのハードウェアデバイスは1つのアカウントでしか利用できません。例えば、10個AWSアカウントがあるとすると、10台のMFAデバイスが必要になります。そのため、全部対応するとハードウェアの管理という問題が出てきます。アカウントが複数ある場合、CISでは優先度が高いアカウントにハードウェアMFAの導入を検討してくださいと記載があります。 rootアカウントへのハードウェアMFAの設定方法はこちらです。

さいごに

insightwatchを使って、MFA設定の棚卸しをしてみました。みなさんも是非、自分のAWSアカウントの状況がどうなっているかチェックしてみてください。

insightwatchを無料ではじめる

参考