Trusted Advisorで最低限のセキュリティチェックを行う

AWSの設定内容に誤りがあると、思わぬセキュリティインシデントに繋がることがあります。意図せず、S3バケットやEBSスナップショットを公開してしまうといったケースです。AWSの設定内容を確認する方法はたくさんありますが、AWS Trusted Advisorによる自動チェックはもっとも簡単で重要な方法です。Trusted Advisorによる確認方法をご紹介します。
2019.08.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWSの設定内容に誤りがあると、思わぬセキュリティインシデントに繋がることがあります。意図せず、S3バケットやEBSスナップショットを公開してしまうといったケースです。AWSの設定内容を確認する方法はたくさんありますが、AWS Trusted Advisorによる自動チェックはもっとも簡単で重要な方法です。Trusted Advisorによる確認方法をご紹介します。

Trusted Advisorとは?

Trusted Advisorは、AWSサービスの1つです。AWSコンソール>サービスに「Trusted Advisor」と入力します。

AWSサポートのプランが、ビジネスサポート以上の場合以下のように表示されます。コスト、パフォーマンス、フォールトトレランス、サービス制限に関してアドバイスを受けられます。

開発者プラン以下の場合は以下のように表示されます。セキュリティの一部とサービス制限のみ利用できます。

筆者の想像ですが、AWSサポートのプランによって、Truseted Advisorの機能を制限しているにも関わらず、セキュリティのチェックが可能なのはそれだけセキュリティのチェックが重要だからだと思います。

Truseted Advisorのセキュリティ項目

ビジネスサポート以上の場合は17項目、開発者プラン以下の場合は6項目のチェックが可能です。共通してチェックできる項目は以下の通りです。ざっと見ていただくとわかるようにどれも非常に重要なチェック項目になります。意図せずEBSスナップショットがパブリックになっていたら、アプリケーションのデータを取られる可能性があります。また、意図せずS3がパブリックになっていたら、ログやバックアップデータがどこからでもアクセスできる状態かもしれません。

  • セキュリティグループ - 開かれたポート
    • 特定のポートへの無制限アクセス(0.0.0.0/0)があるか
  • Amazon EBS パブリックスナップショット
    • EBSスナップショットがパブリックになっているか
  • Amazon RDS パブリックスナップショット
    • RDSスナップショットがパブリックになっているか
  • Amazon S3バケット許可
    • S3がオープンにアクセスできるか
  • IAM の使用
    • IAMユーザーを利用しているか(ルートアカウントのみで運用していないか)
  • ルートアカウントのMFA
    • ルートアカウントでMFAが有効化されているか

チェック項目には、緑、黄、赤の3段階のレベルがあります。セキュリティについては、赤がないように対応しましょう。

問題ない指摘を非表示にする

以下の例では、「セキュリティグループ - 開かれたポート」で、"sg-082204e9fadb00e5c"のセキュリティグループが黄色の指摘を受けています。tcp22ポートが0.0.0.0/0になっていることを示しています。セキュリティグループのルールを変更するなどの対応を行います。「launch-wizard-1」とあるので、ローンチウィザードで作られたセキュリティグループだとわかります。使われていないようであれば、削除しても良いでしょう。

指摘があるものの問題ない項目が出てくるかと思います。tcp22ポートは接続元のIPアドレスを制限すべきですが、なんらかの理由で0.0.0.0/0を維持する必要があることもあるでしょう。そのような場合、非表示にできます。非表示にするリソースを選択し、非表示ボタンを選択します。

非表示が反映され、全ての項目が緑になりました。全て緑に維持できるよう定期的に見直しましょう。また、Trusted Advisorの項目は最低限の内容になるため、赤は0にします。

状況が代わり再表示したくなった場合も対応できます。"非表示の項目"を表示し、表示ボタンを選択します。

今回は開発者プラン以下のTrusted Advisorのチェック項目を中心にご紹介しました。ご利用のAWSアカウントのサポートレベルをあげていただく他、クラスメソッドメンバーズに申し込んでいただければTrusted Advidorの全ての機能をご利用いただけます。AWS利用費に対する割引も適用されますので、ご検討ください。

Trusted Advisorのチェック項目では、セキュリティポリシーを満たせない場合はinsightwatchAWS Configルールをご検討ください。insightwatchはクラスメソッドが開発しているサービスでどなたでも無料でご利用いただけます。チェック項目として、CIS v1.2.0AWSセキュリティチェックリストIAMベストプラクティスに対応しています。AWS ConfigルールはAWSのサービスです。事前に定義されたルールが豊富にあるほか、ユーザーがルールを作成できます。

さいごに

AWSの設定内容に誤りがあると、思わぬセキュリティインシデントに繋がることがあります。AWSリソースのチェック方法はたくさんありますが、今回は一番簡単で重要なTrusted Advisorのセキュリティチェックについてご紹介しました。チェック状況を確認し、AWSリソースを修正したり、Trusted Advisorで非表示にすることで、最低限赤がないようにしていただければと思います。Trusted Advisorでは不足する場合、insightwatchやAWS Configルールをお試しください。