セキュリティ

説明

Application Load Balancer とその Amazon EC2 ターゲットにアタッチされているセキュリティグループをチェックします。Application Load Balancer セキュリティグループは、リスナーで設定されたインバウンドポートのみを許可する必要があります。ターゲットのセキュリティグループは、ターゲットがロードバランサーからトラフィックを受信するのと同じポートのインターネットからの直接接続を受け入れないでください。

セキュリティグループがロードバランサー用に設定されていないポートへのアクセスを許可したり、ターゲットへの直接アクセスを許可したりすると、データ損失や悪意のある攻撃のリスクが高まります。

このチェックでは、次のグループが除外されます。

IP アドレスまたは EC2 インスタンスに関連付けられていないターゲットグループ。
IPv6 トラフィックのセキュリティグループルール。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

8604e947f2

アラート条件

赤: ターゲットにはパブリック IP と、トラフィックポートへのインバウンド接続をどこからでも許可するセキュリティグループがあります (0.0.0.0/0)。
赤: Application Load Balancer では認証が有効になっており、ターゲットはトラフィックポートのインバウンド接続をどこからでも許可します (0.0.0.0/0)。
黄: ターゲットのセキュリティグループでは、トラフィックポートのインバウンド接続をどこからでも許可します (0.0.0.0/0)。
黄: Application Load Balancer セキュリティグループは、対応するリスナーを持たないポートでのインバウンド接続を許可します。
緑: Application Load Balancer セキュリティグループは、リスナーと一致するポートのインバウンド接続のみを許可します。

[Recommended Action] (推奨されるアクション)

セキュリティを向上させるには、セキュリティグループが必要なトラフィックフローのみを許可していることを確認してください。

Application Load Balancer のセキュリティグループは、リスナーで設定された同じポートに対してのみインバウンド接続を許可する必要があります。
ロードバランサーとターゲットには排他的なセキュリティグループを使用します。
ターゲットセキュリティグループは、関連付けられたロードバランサー (複数可) からのトラフィックポートへの接続のみを許可する必要があります。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
対象グループ
ALB 名
ALB SG ID
ターゲット SG ID
認証が有効
最終更新日時

説明

Amazon CloudWatch ロググループの保持期間が 365 日または特定の日数に設定されているかどうかを確認します。

デフォルトでは、ログは無制限に保持され、失効しません。ただし、業界の規制や特定の期間の法的要件に準拠するように、ロググループごとに保持ポリシーを調整することができます。

AWS Config ルールの LogGroupNames と MinRetentionTime パラメータを使用して、最小保持期間とロググループ名を指定できます。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz186

ソース

AWS Config Managed Rule: cw-loggroup-retention-period-check

アラート条件

黄: Amazon CloudWatch ロググループの保持期間が希望する最小日数を下回っています。

[Recommended Action] (推奨されるアクション)

Amazon CloudWatch Logs に保存されているログデータには、コンプライアンス要件を満たすために 365 日を超える保存期間を設定します。

詳細については、「CloudWatch Logs でのログデータ保管期間の変更」を参照してください。

その他のリソース

CloudWatch のログ保持期間の変更

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

直近 24 時間以内に実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの SQL Server バージョンをチェックします。このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、または終了している場合に警告を受け取ります。SQL Server の各バージョンでは、5 年間のメインストリームサポートと 5 年間の延長サポートを含む 10 年間のサポートが提供されます。サポートの終了後には、SQL Server バージョンは定期的なセキュリティ更新を受け取らなくなります。サポートされていないバージョンの SQL Server でアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが生じる可能性があります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

Qsdfp3A4L3

アラート条件

赤: EC2 インスタンスには、サポートが終了した SQL Server バージョンがあります。
黄: EC2 インスタンスには、12 か月以内にサポートが終了する SQL Server バージョンがあります。

[Recommended Action] (推奨されるアクション)

SQL Server のワークロードをモダナイズするには、Amazon Aurora などの AWS クラウドネイティブデータベースへのリファクタリングを検討してください。詳細については、「を使用した Windows ワークロードのモダナイズ AWS」を参照してください。

フルマネージドデータベースに移行するには、Amazon Relational Database Service (Amazon RDS) への再プラットフォーム化を検討します。詳細については、「Amazon RDS for SQL Server」を参照してください。

Amazon EC2 で SQL Server をアップグレードするには、オートメーションランブックを使用してアップグレードを簡素化することを検討してください。詳細については、AWS Systems Manager のドキュメントを参照してください。

Amazon EC2 で SQL Server をアップグレードできない場合は、Windows Server 向けサポート終了移行プログラム (EMP) を検討してください。詳細については、EMP のウェブサイトを参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
[インスタンス ID]
SQL Server バージョン
サポートサイクル
サポートの終了
最終更新日時

説明

このチェックでは、Microsoft SQL バージョンがサポート終了に近づいている場合や、サポート終了に近づいている場合に警告します。各 Windows Server バージョンは、5 年間のメインストリームサポートと 5 年間の延長サポートを含め、10 年間のサポートを提供します。サポートが終了すると、Windows Server バージョンは定期的なセキュリティ更新プログラムを受信しません。サポートされていない Windows Server バージョンでアプリケーションを実行すると、セキュリティやコンプライアンスのリスクが生じる可能性があります。

注記

このチェックでは、EC2 インスタンスの起動に使用された AMI に基づいて結果が生成されます。現在のインスタンスオペレーティングシステムが起動 AMI と異なる可能性があります。たとえば、Windows Server 2016 AMI からインスタンスを起動し、その後 Windows Server 2019 にアップグレードした場合、起動 AMI は変更されません。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

Qsdfp3A4L4

アラート条件

赤: EC2 インスタンスには、サポートが終了している Windows Server バージョン (Windows Server 2003、2003 R2、2008、2008 R2) があります。
黄: EC2 インスタンスには、18 か月以内にサポートが終了する Windows Server バージョン (Windows Server 2012、2012 R2) があります。

[Recommended Action] (推奨されるアクション)

Windows Server ワークロードをモダナイズするには、Windows ワークロードをモダナイズで利用できるさまざまなオプションを検討してください AWS。

Windows Server ワークロードをアップグレードしてより新しいバージョンの Windows Server で実行するときは、自動化ランブックを使用できます。詳細については、AWS Systems Manager のドキュメントを参照してください。

以下の一連の手順に従ってください。

Windows Server のバージョンのアップグレード
アップグレードの際のハードの停止と起動
EC2Config を使用している場合は、EC2Launch に移行してください。

[Report columns] (レポート列)

ステータス
リージョン
[インスタンス ID]
Windows Server バージョン
サポートサイクル
サポートの終了
最終更新日時

説明

このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、終了している場合に警告します。次の LTS に移行するか Ubuntu Pro にアップグレードすることで、対策を講じることが重要です。サポート終了後、18.04 LTS のマシンはセキュリティ更新を受信できなくなります。Ubuntu Pro サブスクリプションを利用すると、Ubuntu 18.04 LTS デプロイは 2028 年まで Expanded Security Maintenance (ESM) を受け取ることができます。パッチが適用されていないセキュリティの脆弱性により、システムがハッカーにさらされ、重大な侵害が発生する可能性があります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c1dfprch15

アラート条件

赤: Amazon EC2 インスタンスに、標準サポートが終了した Ubuntu バージョン (Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS、18.04.6 LTS)

黄色: Amazon EC2 インスタンスに、6 か月以内に標準サポートが終了する Ubuntu バージョン (Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.5 LTS、20.04.6 LTS) が含まれています。

緑: すべての Amazon EC2 インスタンスが準拠しています。

[Recommended Action] (推奨されるアクション)

Ubuntu 18.04 LTS インスタンスをサポートされている LTS バージョンにアップグレードするには、こちらの記事に記載されている手順に従ってください。Ubuntu 18.04 LTS インスタンスを Ubuntu Pro にアップグレードするには、 AWS License Manager コンソールにアクセスし、「AWS License Manager ユーザーガイド」に記載された手順に従ってください。Ubuntu インスタンスを Ubuntu Pro にアップグレードする手順を説明したデモをご覧いただける Ubuntu ブログも参照してください。

その他のリソース

料金については、サポートにお問い合わせください。

[Report columns] (レポート列)

ステータス
リージョン
Ubuntu LTS バージョン
サポートの終了予定日
[インスタンス ID]
サポートサイクル
最終更新日時

説明

Amazon EFS ファイルシステムが転送中データの暗号化を使用してマウントされているかどうかを確認します。 AWS では、データを偶発的な公開や不正アクセスから保護するため、すべてのデータフローで転送中データの暗号化を使用することを推奨しています。Amazon EFS では、Amazon EFS マウントヘルパーを使用して「-o tls」によるマウント設定を使用し、TLS v1.2 を使用して転送中のデータを暗号化することを推奨しています。

チェック ID

c1dfpnchv1

アラート条件

黄色: Amazon EFS ファイルシステムの 1 つ以上の NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用していません。

緑: Amazon EFS ファイルシステムのすべての NFS クライアントが、転送中のデータを暗号化するために必要な推奨されるマウント設定を使用しています。

[Recommended Action] (推奨されるアクション)

Amazon EFS で転送中のデータの暗号化機能を利用するには、Amazon EFS マウントヘルパーおよび推奨されるマウント設定を使用して、ファイルシステムを再マウントすることをお勧めします。

注記

一部の Linux ディストリビューションには、デフォルトで TLS 機能をサポートするバージョンの stunnel が含まれていません。サポートされていない Linux ディストリビューションを使用している場合は (Amazon Elastic File System ユーザーガイドの「サポートされているディストリビューション」を参照）、推奨されるマウント設定で再マウントする前にアップグレードすることをお勧めします。

その他のリソース

Encrypting data in transit

[Report columns] (レポート列)

ステータス
リージョン
EFS ファイルシステム ID
接続が暗号化されていない AZ
最終更新日時

説明

Amazon Elastic Block Store (Amazon EBS) ボリュームスナップショットのアクセス許可設定をチェックし、スナップショットが一般にアクセス可能である場合に警告します。

スナップショットを公開すると、すべての AWS アカウントおよびユーザーにスナップショット上のすべてのデータへのアクセス権が付与されます。スナップショットを特定のユーザーまたはアカウントとのみ共有するには、スナップショットをプライベートとしてマークします。次に、スナップショットデータを共有するユーザーまたはアカウントを指定します。「すべての共有をブロック」モードでブロックパブリックアクセスを有効にしている場合、パブリックスナップショットはパブリックにアクセスできず、このチェックの結果には表示されないことに注意してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

チェック ID

ePs02jT06w

アラート条件

赤: EBS ボリュームスナップショットはパブリックにアクセス可能です。

[Recommended Action] (推奨されるアクション)

スナップショット内のすべてのデータをすべての AWS アカウントおよびユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「Amazon EBS スナップショットの共有」を参照してください。EBS スナップショットのパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。このチェックは、 Trusted Advisor コンソールのビューから除外することはできません。

スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用します。詳細については、「AWSSupport-ModifyEBSSnapshotPermission」を参照してください。

その他のリソース

Amazon EBS スナップショット

[Report columns] (レポート列)

ステータス
リージョン
ボリューム ID
スナップショット ID
説明

説明

Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。

Aurora DB クラスターの作成時に暗号化が有効になっていない場合は、復号化されたスナップショットを暗号化された DB クラスターに復元する必要があります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、3 ～ 5 Trusted Advisor 日間の Amazon RDS レコメンデーションをで表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt005

アラート条件

赤: Amazon RDS Aurora リソースでは暗号化が有効になっていません。

[Recommended Action] (推奨されるアクション)

DB クラスターの保管中のデータの暗号化を有効にします。

その他のリソース

DB インスタンスの作成時に暗号化を有効にすることも、回避策を使用してアクティブな DB インスタンスの暗号化を有効にすることもできます。復号化された DB クラスターを暗号化された DB クラスターに変更することはできません。ただし、複合化されたスナップショットを暗号化された DB クラスターに復元することはできます。復号されたスナップショットから復元する場合は、 AWS KMS キーを指定する必要があります。

詳細については、「Amazon Aurora リソースの暗号化」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
エンジン名
最終更新日時

説明

データベースリソースで最新のマイナー DB エンジンバージョンが実行されていません。最新のマイナーバージョンには、最新のセキュリティ修正プログラムやその他の改善が含まれています。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、3 ～ 5 Trusted Advisor 日間の Amazon RDS レコメンデーションをで表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt003

アラート条件

黄: Amazon RDS リソースは最新のマイナー DB エンジンバージョンを実行していません。

[Recommended Action] (推奨されるアクション)

最新バージョンにアップグレードします。

その他のリソース

最新の DB エンジンのマイナーバージョンには、最新のセキュリティと機能の修正が含まれているため、このバージョンでデータベースを保守することをお勧めします。DB エンジンのマイナーバージョンのアップグレードには、DB エンジンの同じメジャーバージョンの以前のマイナーバージョンと後方互換性のあるデータベースの変更のみが含まれます。

詳細については、「DB インスタンスのエンジンバージョンのアップグレード」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
エンジン名
現行のエンジンバージョン
推奨値
最終更新日時

説明

Amazon Relational Database Service (Amazon RDS) DB スナップショットのアクセス許可設定をチェックし、スナップショットがパブリックとしてマークされている場合に警告します。

スナップショットを公開すると、すべての AWS アカウントおよびユーザーにスナップショット上のすべてのデータへのアクセス権が付与されます。スナップショットを特定のユーザーまたはアカウントをのみ共有する場合は、そのスナップショットをプライベートとしてマークします。その後にスナップショットデータを共有するユーザーまたはアカウントを指定します。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

チェック ID

rSs93HQwa1

アラート条件

赤: Amazon RDS スナップショットはパブリックとしてマークされています。

[Recommended Action] (推奨されるアクション)

スナップショット内のすべてのデータをすべての AWS アカウントおよびユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「DB スナップショットまたは DB クラスタースナップショットの共有」を参照してください。このチェックは、 Trusted Advisor コンソールのビューから除外することはできません。

スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用できます。詳細については、「AWSSupport-ModifyRDSSnapshotPermission」を参照してください。

その他のリソース

Amazon RDS DB インスタンスのバックアップと復元

[Report columns] (レポート列)

ステータス
リージョン
DB インスタンスまたはクラスター ID
スナップショット ID

説明

Amazon Relational Database Service（Amazon RDS）のセキュリティグループ設定をチェックし、セキュリティグループルールでデータベースへの過度なアクセスが許可されている場合に警告します。セキュリティグループルールの推奨設定は、特定の Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループまたは特定の IP アドレスからのアクセスのみを許可することです。

注記

このチェックでは、toAmazon RDS インスタンスにアタッチされているセキュリティグループのみが評価されます。 https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html

チェック ID

nNauJisYIT

アラート条件

黄: DB セキュリティグループルールは、次のポートのいずれかでグローバルアクセス権を付与する Amazon EC2 セキュリティグループを参照しています: 20、21、22、1433、1434、3306、3389、4333、5432、5500。
赤: DB セキュリティグループルールはグローバルアクセス権を付与します (CIDR ルールのサフィックスは /0)。
緑: DB セキュリティグループには、許容ルールは含まれません。

[Recommended Action] (推奨されるアクション)

EC2-Classic は 2022 年 8 月 15 日に廃止されました。Amazon RDS インスタンスを VPC に移動し、Amazon EC2 セキュリティグループを使用することをお勧めします。DB インスタンスを VPC に移動する方法の詳細については、「VPC 内にない DB インスタンスを VPC に移動する」を参照してください。

Amazon RDS インスタンスを VPC に移行できない場合は、セキュリティグループのルールを確認し、承認された IP アドレスまたは IP 範囲へのアクセスを制限します。セキュリティグループを編集するには、AuthorizeDBSecurityGroupIngress API または AWS Management Consoleを使用します。詳細については、「DB セキュリティグループの操作」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
RDS セキュリティグループ名
受信ルール
理由

説明

Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。

DB インスタンスの作成時に暗号化が有効になっていない場合は、暗号化を有効にする前に、復号化されたスナップショットの暗号化されたコピーを復元する必要があります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、3 ～ 5 Trusted Advisor 日間の Amazon RDS レコメンデーションをで表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt006

アラート条件

赤: Amazon RDS リソースでは暗号化が有効になっていません。

[Recommended Action] (推奨されるアクション)

DB インスタンスの保管中のデータの暗号化を有効にします。

その他のリソース

DB インスタンスを暗号化できるのは、DB インスタンスを作成するときだけです。既存のアクティブな DB インスタンスを暗号化するには:

元の DB インスタンスの暗号化されたコピーを作成する

DB インスタンスのスナップショットを作成します。
ステップ 1 で作成したスナップショットの暗号化されたコピーを作成します。
暗号化されたスナップショットから DB インスタンスを復元します。

詳細については、以下のリソースを参照してください。

Amazon RDS リソースを暗号化する
DB スナップショットのコピー

[Report columns] (レポート列)

ステータス
リージョン
リソース
エンジン名
最終更新日時

説明

Amazon S3 バケットのホスト名を直接指す CNAME レコードを持つ Amazon Route 53 ホストゾーンをチェックし、CNAME が S3 バケット名と一致しない場合にアラートを出します。

チェック ID

c1ng44jvbm

アラート条件

赤: Amazon Route 53 ホストゾーンに、S3 バケットのホスト名の不一致を示す CNAME レコードがあります。

緑: Amazon Route 53 ホストゾーンと一致しない CNAME レコードはありませんでした。

[Recommended Action] (推奨されるアクション)

CNAME レコードを S3 バケットのホスト名に指定する場合は、設定した CNAME またはエイリアスレコードと一致するバケットが存在することを確認する必要があります。これにより、CNAME レコードが偽装されるリスクを回避できます。また、権限のない AWS ユーザーがドメインで障害や悪意のあるウェブコンテンツをホストしないようにします。

CNAME レコードが S3 バケットのホスト名に直接指定されないようにするには、オリジンアクセスコントロール (OAC) を使用し、Amazon CloudFront を通じて S3 バケットのウェブアセットにアクセスすることを検討してください。

CNAME を Amazon S3 バケットのホスト名に関連付ける方法の詳細については、「CNAME レコードを使用した Amazon S3 URL のカスタマイズ」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
ホストゾーン ID
ホストゾーン ARN
一致する CNAME レコード
一致しない CNAME レコード
最終更新日時

説明

各 MX レコードについて、は有効な SPF 値を含む関連する TXT レコードをチェックします。TXT レコード値は「v=spf1」で始まる必要があります。SPF レコードタイプは、Internet Engineering Task Force (IETF) によって廃止されました。Route 53 では、SPF レコードの代わりに TXT レコードを使用するのがベストプラクティスではありません。MX レコードに有効な SPF 値を持つ TXT レコードが少なくとも 1 つ関連付けられている場合、はこのチェックを緑色として Trusted Advisor 報告します。

チェック ID

c9D319e7sG

アラート条件

緑: MX リソースレコードセットには、有効な SPF 値を含む TXT リソースレコードがあります。
黄: MX リソースレコードセットには、有効な SPF 値を含む TXT または SPF リソースレコードがあります。
赤: MX リソースレコードセットには、有効な SPF 値を含む TXT または SPF リソースレコードがありません。

[Recommended Action] (推奨されるアクション)

MX リソースレコードセットごとに、有効な SPF 値を含む TXT リソースレコードセットを作成します。詳細については、「Sender Policy Framework: SPF Record Syntax」(Sender Policy Framework: SPF レコード構文) および「Amazon Route 53 コンソールを使用したリソースレコードセットの作成」を参照してください。

その他のリソース

[Report columns] (レポート列)

ホストゾーン名
ホストゾーン ID
リソースレコードセット名
ステータス

説明

Amazon Simple Storage Service (Amazon S3) で、オープンアクセス許可を持つバケット、または認証された AWS ユーザーへのアクセスを許可するバケットをチェックします。

このチェックでは、明示的なバケットアクセス許可、およびそのアクセス許可をオーバーライドする可能性のあるバケットポリシーが調べられます。Amazon S3 バケットのすべてのユーザーにリストアクセス許可を付与することは推奨されません。これらのアクセス許可により、意図しないユーザーがバケット内のオブジェクトを頻繁にリストすることがあります。結果として、予想される料金よりも高くなる可能性があります。すべてのユーザーにアップロードと削除のアクセス許可を付与すると、バケットのセキュリティの脆弱性が生じる可能性があります。

チェック ID

Pfx0RwqBli

アラート条件

黄色: バケット ACL では、[全員] または [認証済みの AWS ユーザー] に対して「リスト」アクセスが許可されます。
黄: バケットポリシーは、あらゆる種類のオープンアクセスを許可します。
黄: バケットポリシーには、パブリックアクセス権を付与するステートメントがあります。[Block public and cross-account access to buckets that have public policies] (パブリックポリシーが設定されているバケットへのパブリックアクセスとクロスアカウントアクセスをブロック) がオンになり、パブリックステートメントが削除されるまで、そのアカウントの許可されたユーザーのみにアクセスが制限されます。
黄: Trusted Advisor ポリシーを確認するアクセス許可がないか、他の理由でポリシーを評価できませんでした。
赤色: バケット ACL では、[全員] または [認証済みの AWS ユーザー] に対して「アップロード」および「削除」アクセスが許可されます。
緑: すべての Amazon S3 は、ACL および/またはバケットポリシーに準拠しています。

[Recommended Action] (推奨されるアクション)

バケットがオープンアクセスを許可している場合、オープンアクセスが本当に必要かどうかを判断します。例えば、静的ウェブサイトをホストするには、Amazon CloudFront を使用して Amazon S3 でホストされているコンテンツを提供できます。Amazon CloudFront デベロッパーガイドのanAmazon S3 オリジンへのアクセスの制限」を参照してください。可能であれば、バケットのアクセス許可を更新して、所有者または特定のユーザーへのアクセスを制限します。Amazon S3 のパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。「バケットとオブジェクトのアクセス許可の設定」を参照してください。

その他のリソース

Managing Access Permissions to Your Amazon S3 Resources (Amazon S3 リソースへのアクセス許可の管理)

Amazon S3 バケットのブロックパブリックアクセス設定の構成

[Report columns] (レポート列)

ステータス
リージョン名
リージョン API パラメータ
バケット名
ACL でリストを許可
ACL でアップロード/削除を許可
ポリシーでアクセスを許可

説明

VPC ピアリング接続で、アクセプターとリクエスター VPC の両方の DNS 解決が有効になっているかどうかを確認します。

VPC ピアリング接続の DNS 解決により、パブリック DNS ホスト名がプライベート IPv4 アドレスに解決されるように VPC からクエリを実行することができます。これにより、ピアリングされた VPC 内のリソース間の通信に DNS 名を使用できるようになります。VPC ピアリング接続の DNS 解決により、アプリケーションの開発と管理が簡単になり、エラーが発生しにくくなります。また、リソースは常に VPC ピアリング接続を介してプライベートに通信できます。

AWS Config ルールの vpcIds パラメータを使用して VPC IDs を指定できます。

詳細については、「VPC ピアリング接続の DNS 解決を有効にする」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz124

ソース

AWS Config Managed Rule: vpc-peering-dns-resolution-check

アラート条件

黄: VPC ピアリング接続のアクセプター VPC とリクエスタ VPC の両方で DNS 解決が有効になっていません。

[Recommended Action] (推奨されるアクション)

VPC ピアリング接続の DNS 解決を有効にします。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Application Load Balancer (ALB) ターゲットグループが HTTPS プロトコルを使用して、インスタンスまたは IP のバックエンドターゲットタイプの転送中の通信を暗号化していることを確認します。ALB とバックエンドターゲット間の HTTPS リクエストは、転送中のデータの機密性を維持するのに役立ちます。

チェック ID

c2vlfg0p1w

アラート条件

黄: HTTP を使用する Application Load Balancer ターゲットグループ。
緑: HTTPS を使用する Application Load Balancer ターゲットグループ。

[Recommended Action] (推奨されるアクション)

HTTPS アクセスをサポートするようにインスタンスまたは IP のバックエンドターゲットタイプを設定し、HTTPS プロトコルを使用して ALB とインスタンスまたは IP のバックエンドターゲットタイプ間の通信を暗号化するようにターゲットグループを変更します。

その他のリソース

転送中の暗号化を強制する

Application Load Balancer のターゲットタイプ

Application Load Balancer のルーティング設定

Elastic Load Balancing でのデータ保護

[Report columns] (レポート列)

ステータス
リージョン
ALB Arn
ALB 名
ALB VPC ID
ターゲットグループ Arn
ターゲットグループ名
ターゲットグループプロトコル
最終更新日時

説明

AWS Backup ボールトに、復旧ポイントの削除を防止するリソースベースのポリシーがアタッチされているかどうかを確認します。

リソースベースのポリシーにより、リカバリポイントが予期せず削除されるのを防ぐことができるため、バックアップデータに対して最小特権でアクセス制御を行うことができます。

ルールがルールの principalArnList パラメータ AWS Config でチェックしない AWS Identity and Access Management ARNsを指定できます。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz152

ソース

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

アラート条件

黄: 復旧ポイントの削除を防ぐためのリソースベースのポリシーがない AWS Backup ボールトがあります。

[Recommended Action] (推奨されるアクション)

AWS Backup ボールトのリソースベースのポリシーを作成して、復旧ポイントの予期しない削除を防止します。

ポリシーには、backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy 権限を含む「拒否」ステートメントを含める必要があります。

詳細については、「Set access policies on backup vaults」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

の使用を確認します AWS CloudTrail。CloudTrail は、アカウントで行われた AWS API コールに関する情報を記録 AWS アカウントすることで、のアクティビティの可視性を高めます。このログを使用して、特定のユーザーが指定期間にどのようなアクションを行ったか、指定期間に特定のリソースに対してどのユーザーがアクションを実行したかを判断できます。

CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信するため、CloudTrail には、そのバケットに対する書き込みアクセス許可が必要です。証跡をすべてのリージョンに適用する場合 (新しい証跡を作成した場合のデフォルト)、証跡は Trusted Advisor レポートに複数回表示されます。

チェック ID

vjafUGJ9H0

アラート条件

黄: CloudTrail は、証跡のログ配信エラーを報告します。
赤: リージョンの証跡が作成されていないか、証跡のログ記録がオフになっています。

[Recommended Action] (推奨されるアクション)

証跡を作成してコンソールからログ記録を開始するには、AWS CloudTrail コンソールに移動します。

ログ記録を開始するには、「Stopping and Starting Logging for a Trail」(証跡のログ記録の停止と開始) を参照してください。

ログ配信エラーが発生した場合は、バケットが存在し、必要なポリシーがバケットにアタッチされていることを確認してください。「Amazon S3 バケットポリシー」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
証跡名
ログ記録のステータス
バケット名
ログ配信日

説明

の使用を確認します AWS CloudTrail。CloudTrail は、のアクティビティの可視性を高めます AWS アカウント。これを行うには、アカウントで行われた AWS API コールに関する情報を記録します。このログを使用して、特定のユーザーが指定期間にどのようなアクションを行ったか、指定期間に特定のリソースに対してどのユーザーがアクションを実行したかを判断できます。

CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信するため、CloudTrail には、そのバケットに対する書き込みアクセス許可が必要です。証跡がすべての AWS リージョン (新しい証跡を作成するときのデフォルト) に適用される場合、証跡はレポートに Trusted Advisor 複数回表示されます。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c25hn9x03v

アラート条件

赤: の証跡が作成されないか AWS リージョン、どの証跡でもログ記録が有効になっていません。
黄: CloudTrail は有効ですが、すべての証跡でログ配信エラーが報告されます。
緑: CloudTrail は有効になっており、ログ配信エラーは報告されません。

[Recommended Action] (推奨されるアクション)

証跡を作成し、コンソールからログ記録を開始するには、AWS CloudTrail コンソールを開きます。

ログ記録を開始するには、「Stopping and Starting Logging for a Trail」(証跡のログ記録の停止と開始) を参照してください。

ログ配信エラーが発生した場合は、バケットが存在し、必要なポリシーがバケットにアタッチされていることを確認します。「Amazon S3 バケットポリシー」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
ログ記録が有効
配信エラーが報告されました
最終更新日時

説明

非推奨に近づいているランタイムを使用するように $LATEST バージョンが設定されている場合、または非推奨になっている Lambda 関数をチェックします。非推奨のランタイムは、セキュリティ更新プログラムまたはテクニカルサポートの対象外です

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

公開された Lambda 関数のバージョンは不変です。つまり、呼び出すことはできますが、更新することはできません。更新できるのは Lambda 関数の $LATEST バージョンのみです。詳細については、「Lambda 関数のバージョン」を参照してください。

チェック ID

L4dfs2Q4C5

アラート条件

赤: 関数の $LATEST バージョンは、既に廃止されたランタイムを使用するように設定されています。
黄: 関数の $LATEST バージョンは、180 日以内に廃止されるランタイムで実行されています。

[Recommended Action] (推奨されるアクション)

もうすぐ非推奨になるランタイムで実行されている関数がある場合は、サポート対象のランタイムへの移行に向けて準備する必要があります。詳細については、「Runtime support policy」(ランタイムサポートポリシー) を参照してください。

使用しなくなった以前の関数バージョンを削除することをお勧めします。

その他のリソース

Lambda ランタイム

[Report columns] (レポート列)

ステータス
リージョン
関数 ARN
ランタイム
非推奨になるまでの日数
廃止日
平均日次呼び出し
最終更新日時

説明

セキュリティの柱で、ワークロードに関するリスクの高い問題 (HRI) をチェックします。このチェックは、お客様の AWS-Well Architected レビューに基づきます。チェック結果は、AWS Well-Architected でワークロード評価を完了したかどうかによって異なります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

Wxdfp4B1L3

アラート条件

赤: AWS Well-Architected のセキュリティの柱で、少なくとも 1 つのアクティブな高リスクの問題が特定されました。
緑: AWS Well-Architected のセキュリティの柱でアクティブな高リスクの問題は検出されませんでした。

[Recommended Action] (推奨されるアクション)

AWS Well-Architected は、ワークロード評価中に高リスクの問題を検出しました。これらの問題は、リスクを軽減し、費用を節約する機会を提示します。AWS Well-Architected ツールにサインインして、回答を確認し、アクティブな問題を解決するためのアクションを実行します。

[Report columns] (レポート列)

ステータス
リージョン
ワークロードの ARN
ワークロード名
レビュー担当者名
ワークロードタイプ
ワークロードの開始日
ワークロードの最終変更日
セキュリティについて特定された HRI の数
セキュリティについて解決された HRI の数
セキュリティについての質問の数
セキュリティの柱の質問の総数
最終更新日時

説明

IAM 証明書ストア内の CloudFront 代替ドメイン名の SSL 証明書をチェックします。このチェックでは、証明書の期限が切れている場合、近日中に証明書の期限が切れる場合、証明書で古い暗号化が使用されている場合、またはディストリビューションに対して証明書が正しく構成されていない場合にアラートが発生します。

代替ドメイン名のカスタム証明書の有効期限が切れると、CloudFront コンテンツを表示するブラウザにウェブサイトのセキュリティに関する警告メッセージが表示されることがあります。SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのほとんどのウェブブラウザで廃止されています。

証明書には、オリジンドメイン名、またはビューワーリクエストのホストヘッダー内のドメイン名のいずれかに一致するドメイン名が含まれている必要があります。一致しない場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) をユーザーに返します。詳細については、「代替ドメイン名と HTTPS の使用」を参照してください。

チェック ID

N425c450f2

アラート条件

赤: カスタム SSL 証明書の有効期限が切れています。
黄: カスタム SSL 証明書は今後 7 日で期限切れになります。
黄: カスタム SSL 証明書が SHA-1 ハッシュアルゴリズムを使用して暗号化されています。
黄: ディストリビューション内の 1 つ以上の代替ドメイン名が、カスタム SSL 証明書の [Common Name] (共通名) フィールドにも [Subject Alternative Names] (サブジェクト代替名) フィールドにも表示されません。

[Recommended Action] (推奨されるアクション)

AWS Certificate Manager を使用してサーバー証明書をプロビジョニング、管理、デプロイすることをお勧めします。ACM を使用すると、新しい証明書をリクエストしたり、既存の ACM または外部証明書を AWS リソースにデプロイしたりできます。ACM が提供する証明書は無料で、自動的に更新できます。ACM の使用の詳細については、AWS Certificate Manager ユーザーガイドを参照してください。ACM がサポートするリージョンを確認するには、「」のAWS Certificate Manager 「エンドポイントとクォータ」を参照してください AWS 全般のリファレンス。

期限切れの証明書または期限切れが近い証明書を更新します。証明書の更新の詳細については、「IAM でのサーバー証明書の管理」を参照してください。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。

証明書を、[Common Names] (共通名) フィールドまたは [Subject Alternative Domain Names] (サブジェクト代替ドメイン名) フィールドに該当する値を含む証明書に置き換えます。

その他のリソース

HTTPS 接続を使用したオブジェクトへのアクセス

証明書のインポート

AWS Certificate Manager ユーザーガイド

[Report columns] (レポート列)

ステータス
ディストリビューション ID
ディストリビューションドメイン名
証明書名
理由

説明

オリジンサーバーで、有効期限が切れている SSL 証明書、有効期限が近づいている SSL 証明書、欠落している SSL 証明書、または古い暗号化を使用している SSL 証明書をチェックします。証明書に上記のいずれかの問題がある場合、CloudFront は HTTP ステータスコード 502 (不正なゲートウェイ) を使用してコンテンツのリクエストに応答します。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのウェブブラウザで非推奨になる予定です。CloudFront ディストリビューションに関連付けられた SSL 証明書の数によっては、このチェックにより、CloudFront ディストリビューションのオリジンとして Amazon EC2 または Elastic Load Balancing AWS を使用している場合など、ウェブホスティングプロバイダーの請求書に 1 か月あたり数セントが追加される場合があります。このチェックでは、オリジン証明書チェーンまたは認証局は検証されません。これらは CloudFront 設定で確認できます。

チェック ID

N430c450f2

アラート条件

赤: オリジンの SSL 証明書の有効期限が切れているか、存在しません。
黄: オリジンの SSL 証明書は今後 30 日以内に期限切れになります。
黄: オリジンの SSL 証明書が SHA-1 ハッシュアルゴリズムを使用して暗号化されています。
黄: オリジンの SSL 証明書が見つかりません。タイムアウトや他の HTTPS 接続の問題により、接続が失敗した可能性があります。

[Recommended Action] (推奨されるアクション)

有効期限が切れているか、間もなく期限切れになる場合は、オリジンで証明書を更新します。

証明書が存在しない場合は追加します。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。

その他のリソース

代替ドメイン名と HTTPS の使用

[Report columns] (レポート列)

ステータス
ディストリビューション ID
ディストリビューションドメイン名
オリジン
理由

説明

暗号化された通信に推奨されるセキュリティ設定を使用しないリスナーを持つクラシックロードバランサーをチェックします。 AWS では、安全なプロトコル (HTTPS または SSL)、up-to-dateセキュリティポリシー、安全な暗号とプロトコルを使用することをお勧めします。フロントエンド接続 (クライアントからロードバランサー) に安全なプロトコルを使用する場合、リクエストはクライアントとロードバランサーの間で暗号化されます。これにより、より安全な環境が作成されます。Elastic Load Balancing は、セキュリティに関する AWS のベストプラクティスに準拠する暗号化およびプロトコルを使用する事前定義済みのセキュリティポリシーを提供します。新しい構成が利用可能になると、事前定義済みのポリシーの新しいバージョンがリリースされます。

チェック ID

a2sEc6ILx

アラート条件

赤: ロードバランサーには、セキュアプロトコル (HTTPS) で設定されたリスナーがありません。
黄: ロードバランサーの HTTPS リスナーは、弱い暗号を含むセキュリティポリシーで設定されています。
黄: ロードバランサーの HTTPS リスナーに、推奨されるセキュリティポリシーが設定されていません。
緑: ロードバランサーに少なくとも 1 つの HTTPS リスナーがあり、すべての HTTPS リスナーが推奨ポリシーで設定されています。

[Recommended Action] (推奨されるアクション)

ロードバランサーへのトラフィックをセキュリティで保護する必要がある場合は、フロントエンド接続に HTTPS または SSL プロトコルを使用します。

ロードバランサーを事前定義済みの SSL セキュリティポリシーの最新バージョンにアップグレードします。

推奨される暗号とプロトコルのみを使用してください。

詳細については、「Listener Configurations for Elastic Load Balancing」(Elastic Load Balancing のリスナー設定) を参照してください。

その他のリソース

リスナー設定のクイックリファレンス
ロードバランサーの SSL ネゴシエーション設定を更新する
SSL Negotiation Configurations for Elastic Load Balancing (Elastic Load Balancing の SSL ネゴシエーション設定)
SSL セキュリティポリシーのテーブル

[Report columns] (レポート列)

ステータス
リージョン
ロードバランサー名
ロードバランサーのポート
理由

説明

ロードバランサー用に設定されていないポートへのアクセスを許可するセキュリティグループで設定されたロードバランサーをチェックします。

ロードバランサー用に設定されていないポートへのアクセスがセキュリティグループで許可されている場合、データの損失や悪意のある攻撃のリスクが高くなります。

チェック ID

xSqX82fQu

アラート条件

黄: ロードバランサーに関連付けられた Amazon VPC セキュリティグループのインバウンドルールは、ロードバランサーのリスナー設定で定義されていないポートへのアクセスを許可します。
緑: ロードバランサーに関連付けられた Amazon VPC セキュリティグループのインバウンドルールは、ロードバランサーリスナー設定で定義されていないポートへのアクセスを許可しません。

[Recommended Action] (推奨されるアクション)

セキュリティグループルールを設定して、ロードバランサーのリスナー設定で定義されたポートとプロトコル、および Path MTU Discovery をサポートする ICMP プロトコルのみにアクセスを制限します。「Listeners for Your Classic Load Balancer」(Classic Load Balancer のリスナー) および「Security Groups for Load Balancers in a VPC」(VPC のロードバランサーのセキュリティグループ) を参照してください。

セキュリティグループがない場合は、ロードバランサーに新しいセキュリティグループを適用します。ロードバランサーのリスナー設定で定義されているポートとプロトコルのみにアクセスを制限するセキュリティグループルールを作成します。「VPC でのロードバランサーのセキュリティグループ」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
ロードバランサー名
セキュリティグループ ID
理由

説明

一般に露出されているアクセスキー、およびアクセスキーが侵害された結果である可能性のある Amazon Elastic Compute Cloud (Amazon EC2) の不規則な使用状況について頻繁に使用されているコードリポジトリをチェックします。

アクセスキーは、アクセスキー ID とそれに対応するシークレットアクセスキーで構成されます。露出したアクセスキーは、アカウントや他のユーザーにセキュリティ上のリスクの原因となり、不正な活動や不正使用に起因する過度の請求が発生する可能性があるだけでなく、AWS カスタマーアグリーメントの違反になることがあります。

アクセスキーが露出している場合は、直ちにアカウントを保護してください。アカウントを過剰な料金から保護するために、 AWS は一時的に一部の AWS リソースを作成する機能を制限します。これにより、アカウントのセキュリティが確保されるわけではありません。課金される可能性のある不正使用を部分的に制限するだけです。

注記

このチェックでは、露出したアクセスキーまたは侵害された EC2 インスタンスの識別は保証されません。アクセスキーと AWS リソースの安全性とセキュリティは、最終的にお客様の責任となります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズオンランプ、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

アクセスキーの期限が表示され AWS アカウントている場合、その日までに不正使用が停止されない場合、を停止 AWS できます。アラートがエラー状態であると思われる場合は、AWS サポートまで問い合わせてください。

に表示される情報は、アカウントの最新の状態を反映していない Trusted Advisor 可能性があります。アカウントで公開されているすべてのアクセスキーが解決されるまで、公開されたアクセスキーが解決済みとしてマークされることはありません。このデータ同期には、最大 1 週間かかる場合があります。

チェック ID

12Fnkpl8Y5

アラート条件

赤: 侵害された可能性がある – は、インターネットで公開され、侵害された (使用された) 可能性があるアクセスキー ID と対応するシークレットアクセスキー AWS を特定しました。
赤: 公開済み – は、インターネットで公開されているアクセスキー ID と対応するシークレットアクセスキー AWS を識別しました。
赤: 疑わしいです - Amazon EC2 の不規則な使用は、アクセスキーが侵害された可能性があることを示唆していますが、インターネット上で公開されていると識別されてはいません。

[Recommended Action] (推奨されるアクション)

影響を受けるアクセスキーを可能な限り早急に削除します。キーが IAM ユーザーに関連付けられている場合は、「IAM ユーザーのアクセスキーの管理」を参照してください。

アカウントで不正使用がないか確認してください。AWS Management Console にサインインし、疑わしいリソースがないか各サービスコンソールを確認します。Amazon EC2 インスタンスの実行、スポットインスタンスリクエスト、アクセスキー、IAM ユーザーには特に注意してください。Billing and Cost Management コンソールで全体的な使用状況を確認することもできます。

その他のリソース

[Report columns] (レポート列)

アクセスキー ID
ユーザー名 (IAM またはルート)
不正行為のタイプ
ケース ID
更新日時
場所
Deadline
使用状況 (USD/日)

説明

過去 90 日間にローテーションされていないアクティブな IAM アクセスキーをチェックします。

アクセスキーを定期的にローテーションすると、侵害されたキーが知らないうちにリソースへのアクセスに使用される可能性を削減できます。このチェックでの最後のローテーション日時は、アクセスキーが作成された日または最後にアクティブ化された日です。アクセスキーの番号と日付は access_key_1_last_rotated および access_key_2_last_rotated 情報を直近の IAM 認証情報レポートから取得されます。

認証情報レポートの再生頻度は制限されているため、このチェックを更新しても最近の変更が反映されない場合があります。詳細については、「AWS アカウントの認証情報レポートの取得」を参照してください。

アクセスキーを作成してローテーションするには、ユーザーに適切な許可が必要です。詳細については、「Allow Users to Manage Their Own Passwords, Access Keys, and SSH Keys」(自らのパスワード、アクセスキー、および SSH キーの管理をユーザーに許可する) を参照してください。

チェック ID

DqdJqYeRm5

アラート条件

緑: アクセスキーはアクティブで、過去 90 日間にローテーションされています。
黄: アクセスキーはアクティブで、過去 2 年間でローテーションされましたが、90 日を超える期間が経過しています。
赤: アクセスキーはアクティブで、過去 2 年間ローテーションされていません。

[Recommended Action] (推奨されるアクション)

アクセスキーを定期的にローテーションします。「アクセスキーの更新」および「IAM ユーザーのアクセスキーの管理」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
IAM ユーザー
アクセスキー
最後にローテーションしたキー
理由

説明

アカウントレベルで IAM Access Analyzer の外部アクセスが存在するかどうかを確認します。

IAM Access Analyzer の外部アクセスアナライザーは、外部エンティティと共有されているアカウント内のリソースを識別するのに役立ちます。次に、アナライザーは検出結果を含む一元化されたダッシュボードを作成します。新しいアナライザーが IAM コンソールでアクティブ化されると、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントを優先できます。外部アクセスアナライザーは、リソースのパブリックアクセスとクロスアカウントアクセスの検出結果を作成し、追加料金なしで提供します。

チェック ID

07602fcad6

アラート条件

赤: アナライザーの外部アクセスはアカウントレベルでアクティブ化されていません。
緑: アナライザーの外部アクセスはアカウントレベルでアクティブ化されます。

[Recommended Action] (推奨されるアクション)

アカウントごとに外部アクセスアナライザーを作成すると、セキュリティチームは過剰なアクセス許可に基づいてレビューするアカウントを優先できます。詳細については、AWS Identity and Access Management Access Analyzer 「検出結果の開始方法」を参照してください。

さらに、未使用のアクセスアナライザーを利用するのがベストプラクティスです。このアナライザーは、未使用のアクセスの検査を簡素化して最小特権に導く有料機能です。詳細については、「IAM ユーザーとロールに付与された未使用のアクセスの特定」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
アカウント外部アクセスアナライザー Arn
Organization External Access Analyzer の ARN
最終更新日時

説明

アカウントのパスワードポリシーをチェックし、パスワードポリシーが有効になっていない場合やパスワードコンテンツの要件が有効になっていない場合に警告します。

パスワードコンテンツの要件は、強力なユーザーパスワードの作成を強制することによって AWS 環境の全体的なセキュリティを強化します。パスワードポリシーを作成または変更すると、変更は新しいユーザーに対してただちに適用されますが、既存のユーザーに対してパスワードの変更は強制されません。

チェック ID

Yw2K9puPzl

アラート条件

緑: パスワードポリシーが有効で、推奨コンテンツ要件が有効になっています。
黄: パスワードポリシーは有効になっていますが、少なくとも 1 つのコンテンツ要件が有効になっていません。

[Recommended Action] (推奨されるアクション)

一部のコンテンツ要件が有効になっていない場合は、有効にすることを検討してください。パスワードポリシーが有効になっていない場合は、パスワードポリシーを作成して設定します。「IAM ユーザー用のアカウントパスワードポリシーの設定」を参照してください。

にアクセスするには AWS Management Console、IAM ユーザーにパスワードが必要です。ベストプラクティスとして、では、IAM ユーザーを作成する代わりにフェデレーションを使用することを AWS 強くお勧めします。フェデレーションでは、ユーザーは既存の企業認証情報を使用して、 AWS Management Consoleにログインできます。IAM Identity Center を使用してユーザーを作成またはフェデレーションし、アカウントに IAM ロールを引き受けます。

ID プロバイダーとフェデレーションの詳細については、IAM ユーザーガイドの「ID プロバイダーとフェデレーション」を参照してください。IAM Identity Center の詳細については、IAM Identity Center ユーザーガイドを参照してください。

その他のリソース

パスワードの管理

[Report columns] (レポート列)

パスワードポリシー
大文字
小文字
数値
英数字以外

説明

AWS アカウントが SAML 2.0 をサポートする ID プロバイダー (IdP) 経由でアクセスするように設定されているかどうかを確認します。ID を一元化し、外部 ID プロバイダーまたはでユーザーを設定するときは、ベストプラクティスに従ってくださいAWS IAM Identity Center。

チェック ID

c2vlfg0p86

アラート条件

黄: このアカウントは、SAML 2.0 をサポートする ID プロバイダー (IdP) を介したアクセス用に設定されていません。
緑: このアカウントは、SAML 2.0 をサポートする ID プロバイダー (IdP) 経由でアクセスするように設定されています。

[Recommended Action] (推奨されるアクション)

の IAM アイデンティティセンターをアクティブ化します AWS アカウント。詳細については、EnablingIAM Identity Center」を参照してください。IAM Identity Center を有効にすると、アクセス許可セットの作成や Identity Center グループへのアクセスの割り当てなどの一般的なタスクを実行できます。詳細については、「一般的なタスク」を参照してください。

IAM Identity Center で人間のユーザーを管理するのがベストプラクティスです。ただし、小規模デプロイでは、短期的に人間のユーザーに対して IAM によるフェデレーティッドユーザーアクセスをアクティブ化できます。詳細については、「SAML 2.0 フェデレーション」を参照してください。

その他のリソース

IAM Identity Centerとは何ですか?

IsIAM

[Report columns] (レポート列)

ステータス
AWS アカウント ID
最終更新日時

説明

ルートアカウントをチェックし、多要素認証 (MFA) が有効でない場合に警告します。

セキュリティを強化するために、MFA を使用してアカウントを保護することをお勧めします。MFA では、 AWS Management Console および関連するウェブサイトを操作するときに、ユーザーが MFA ハードウェアまたは仮想デバイスから一意の認証コードを入力する必要があります。

注記

AWS Organizations 管理アカウントの場合、AWS はにアクセスするときにルートユーザーの多要素認証 (MFA) を必要とします AWS Management Console。

AWS Organizations メンバーアカウントの場合、AWS は MFA の使用を推奨します。MFA の適用に加えて、 AWS Organizations を使用して複数のアカウントを管理する場合は、SCP を適用してメンバーアカウントのルートユーザーへのアクセスを制限できます。詳細については、 AWS Organizations 「ユーザーガイド」の「メンバーアカウントのベストプラクティス」を参照してください。

チェック ID

7DAFEmoDos

アラート条件

赤: MFA がルートアカウントで有効になっていません。

[Recommended Action] (推奨されるアクション)

ルートアカウントにログインし、MFA デバイスをアクティブ化します。「MFA ステータスのチェック」および「Setting Up an MFA Device」(MFA デバイスのセットアップ) を参照してください。

セキュリティ認証情報ページにアクセスして、アカウントの MFA をいつでもアクティブ化できます。これを行うには、でアカウントメニューのドロップダウンを選択しますAWS Management Console。AWS は、FIDO2 や仮想認証など、複数の業界標準の MFA 形式をサポートしています。これにより、ニーズに合った MFA デバイスを柔軟に選択できます。MFA デバイスの 1 つが失われたり動作が停止したりした場合の回復性のために、複数の MFA デバイスを登録するのがベストプラクティスです。

その他のリソース

詳細については、theIAMユーザーガイドの「MFA デバイスをアクティブ化する一般的な手順」およびAWS アカウント「ルートユーザー (コンソール) の仮想 MFA デバイスを有効にする」を参照してください。

説明

ルートユーザーアクセスキーが存在するかどうかを確認します。ルートユーザーのアクセスキーペアを作成しないことを強くお勧めします。ルートユーザーが必要なタスクはごくわずかであり、通常、これらのタスクは頻繁に実行されないため、にログイン AWS Management Console してルートユーザータスクを実行するのがベストプラクティスです。アクセスキーを作成する前に、長期アクセスキーの代替案を確認してください。

チェック ID

c2vlfg0f4h

アラート条件

赤: ルートユーザーアクセスキーが存在する

緑: ルートユーザーアクセスキーがありません

[Recommended Action] (推奨されるアクション)

ルートユーザーのアクセスキー (複数可) を削除します。「ルートユーザーのアクセスキーの削除」を参照してください。このタスクは、ルートユーザーが実行する必要があります。IAM ユーザーまたはロールとしてこれらの手順を実行することはできません。

その他のリソース

ルートユーザーの認証情報を必要とするタスク

紛失または忘れたルートユーザーパスワードのリセット

[Report columns] (レポート列)

ステータス
アカウント ID
最終更新日時

説明

セキュリティグループで特定のポートへの無制限アクセス (0.0.0.0/0) を許可するルールを確認します。

無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。リスクが最も高いポートには赤色のフラグが付けられ、リスクが低いポートには黄色のフラグが付けられます。緑色のフラグが付いたポートは、通常、HTTP や SMTP など、無制限のアクセスを必要とするアプリケーションで使用されます。

この方法でセキュリティグループを意図的に設定した場合は、追加のセキュリティ対策を使用してインフラストラクチャ (IP テーブルなど) を保護することをお勧めします。

注記

このチェックでは、作成したセキュリティグループと IPv4 アドレスのインバウンドルールのみが評価されます。によって AWS Directory Service 作成されたセキュリティグループには赤または黄色のフラグが付けられますが、セキュリティリスクはなく、除外できます。詳細については、「Trusted Advisor FAQ」を参照してください。

チェック ID

HCP4007jGY

アラート条件

緑: セキュリティグループは、ポート 80、25、443、または 465 で無制限にアクセスできます。
赤: セキュリティグループはリソースにアタッチされ、ポート 20、21、22、1433、1434、3306、3389、4333、5432、または 5500 への無制限のアクセスを提供します。
黄: セキュリティグループは、他のポートへの無制限のアクセスを提供します。
黄: セキュリティグループはどのリソースにもアタッチされず、無制限のアクセスを提供します。

[Recommended Action] (推奨されるアクション)

アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。

未使用のセキュリティグループを確認して削除します。を使用して AWS Firewall Manager 、全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については AWS アカウント、 AWS Firewall Manager ドキュメントを参照してください。

EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。セッションマネージャーを使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
セキュリティグループ名
セキュリティグループ ID
プロトコル
送信元ポート
送信先ポート
関連付け

説明

セキュリティグループでリソースへの無制限アクセスを許可するルールをチェックします。

無制限のアクセスでは、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データ損失) の機会が増えます。

注記

このチェックでは、作成したセキュリティグループと IPv4 アドレスのインバウンドルールのみが評価されます。によって作成されたセキュリティグループ AWS Directory Service には赤または黄色のフラグが付けられますが、セキュリティリスクは発生せず、除外できます。詳細については、「Trusted Advisor FAQ」を参照してください。

チェック ID

1iG5NDGVre

アラート条件

緑: セキュリティグループルールには、ポート 25、80、または 443 の /0 サフィックスを持つ送信元 IP アドレスがあります。
黄: セキュリティグループルールには、25、80、または 443 以外のポートの /0 サフィックスを持つソース IP アドレスがあり、セキュリティグループはリソースにアタッチされています。
赤: セキュリティグループルールには、25、80、または 443 以外のポートの /0 サフィックスを持つソース IP アドレスがあり、セキュリティグループはリソースにアタッチされません。

[Recommended Action] (推奨されるアクション)

アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。

未使用のセキュリティグループを確認して削除します。を使用して AWS Firewall Manager 、全体で大規模なセキュリティグループを一元的に設定および管理できます。詳細については AWS アカウント、 AWS Firewall Manager ドキュメントを参照してください。

EC2 インスタンスへの SSH (ポート 22) および RDP (ポート 3389) アクセスに Systems Manager Sessions Manager を使用することを検討してください。セッションマネージャーを使用すると、セキュリティグループでポート 22 と 3389 を有効にすることなく EC2 インスタンスにアクセスできます。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
セキュリティグループ名
セキュリティグループ ID
プロトコル
送信元ポート
送信先ポート
IP 範囲

関連付け

注記

チェック名

Application Load Balancer のセキュリティグループ

注記

Amazon CloudWatch ロググループの保持期間

注記

Microsoft SQL Server を使用した Amazon EC2 インスタンスのサポートの終了

注記

Microsoft Windows Server を使用した Amazon EC2 インスタンスのサポートの終了

注記

注記

Ubuntu LTS を使用した Amazon EC2 インスタンスの標準サポートの終了

注記

転送中のデータの暗号化を使用しない Amazon EFS クライアント

注記

Amazon EBS パブリックスナップショット

注記

Amazon RDS Aurora ストレージの暗号化は無効になっています

注記

注記

Amazon RDS エンジンのマイナーバージョンアップグレードが必須です。

注記

注記

Amazon RDS パブリックスナップショット

注記

Amazon RDS セキュリティグループのアクセスリスク

注記

Amazon RDS ストレージの暗号化は無効になっています。

注記

注記

元の DB インスタンスの暗号化されたコピーを作成する

S3 バケットを直接指定する Amazon Route 53 の CNAME レコードの不一致

Amazon Route 53 MX リソースレコードセットと Sender Policy Framework

Amazon S3 バケット許可

DNS 解決が無効になっている Amazon VPC ピアリング接続

注記

Application Load Balancer ターゲットグループ暗号化プロトコル

AWS Backup 復旧ポイントの削除を防ぐためのリソースベースのポリシーのないボールト

注記

AWS CloudTrail ログ記録

AWS CloudTrail 管理イベントのログ記録

注記

AWS Lambda 非推奨ランタイムを使用する関数

注記

セキュリティに関する AWS Well-Architected のリスクの高い問題

注記

IAM 証明書ストアの CloudFront 独自 SSL 証明書

オリジンサーバーの CloudFront 独自 SSL 証明書

ELB リスナーのセキュリティ

Classic Load Balancer セキュリティグループ

露出したアクセスキー

注記

注記

IAM アクセスキーローテーション

IAM Access Analyzer の外部アクセス

IAM パスワードポリシー

IAM SAML 2.0 ID プロバイダー

ルートアカウントの MFA

注記

ルートユーザーアクセスキー

セキュリティグループ — 開かれたポート

注記

セキュリティグループ — 無制限アクセス

注記