SEC01-BP02 安全なアカウントのルートユーザーとプロパティ

ルートユーザーは、 で最も特権のあるユーザーであり AWS アカウント、アカウント内のすべてのリソースにフル管理アクセスでき、場合によってはセキュリティポリシーによって制限されない場合があります。ルートユーザーへのプログラムによるアクセスを無効化し、ルートユーザーに対する適切なコントロールを確立し、さらにルートユーザーの定期的使用を避けることにより、ルート認証情報を不用意に曝露するリスク、それによるクラウド環境の侵害を軽減することができます。

期待される成果: ルートユーザーのセキュリティを保護することで、ルートユーザーの認証情報が不正利用された場合に付帯的または意図的な損害が発生する可能性を抑えることができます。検出コントロールを確立することによっても、ルートユーザーを使ったアクションが取られると適切な担当者にアラートを送信できます。

一般的なアンチパターン:

• ルートユーザー認証情報を必要とする少数以外のタスクに対してもルートユーザーを使用する。 

• 緊急時に重要なインフラストラクチャ、プロセス、担当者が正常に機能するかどうかを検証するために、定期的な緊急時対応計画のテストを怠っている。

• 典型的なアカウントログインフローのみを考慮し、代替アカウント回復方法を考慮することも、テストすることもしていない。

• DNS、E メールサーバー、電話プロバイダーは、アカウント復旧フローで使用されるため、重要なセキュリティ境界の一部として処理しません。

このベストプラクティスを活用するメリット: ルートユーザーへのアクセスを確保することで、アカウントで行われるアクションは制御され監査されているという安心感が得られます。

このベストプラクティスを活用しない場合のリスクレベル: 高

実装のガイダンス

AWS には、アカウントの保護に役立つ多くのツールが用意されています。ただし、これらの対策の一部は既定では有効になっていないため、実装するには直接的な措置を講じる必要があります。これらの推奨事項を、 AWS アカウントをセキュリティ保護するための基本的なステップと考えてください。これらのステップを実装する際、セキュリティ管理を継続的に評価およびモニタリングすることが重要となります。

を初めて作成するときは AWS アカウント、アカウント内のすべての AWS サービスとリソースへの完全なアクセス権を持つ 1 つの ID から始めます。この ID は AWS アカウント ルートユーザーと呼ばれます。アカウントの作成に使用したメールアドレスとパスワードを使用して、ルートユーザーとしてサインインできます。 AWS ルートユーザーに付与された昇格されたアクセスのため、 AWS ルートユーザーの使用を制限して、特に を必要とするタスクを実行する必要があります。ルートユーザーのログイン認証情報は厳重に保護する必要があり、 AWS アカウント ルートユーザーには必ず多要素認証 (MFA) を使用する必要があります。

ユーザー名、パスワード、多要素認証 (MFA) デバイスを使用してルートユーザーにログインするための通常の認証フローに加えて、アカウントに関連付けられた E メールアドレスと電話番号へのアクセス権を付与された AWS アカウント ルートユーザーにログインするためのアカウント復旧フローがあります。そのため、復旧メールを送信するルートユーザーの E メールアカウントと、そのアカウントに関連する電話番号をセキュリティ保護することも同程度に重要となります。また、ルートユーザーに関連付けられた E メールアドレスが、同じ の E メールサーバーまたはドメイン名サービス (DNS) リソースでホストされている循環依存関係の可能性についても考慮してください AWS アカウント。

を使用する場合 AWS Organizations、 AWS アカウント それぞれにルートユーザーがある複数の があります。1 つのアカウントを管理アカウントに指定し、その管理アカウントの下に何層ものメンバーアカウントを追加することができます。管理アカウントのルートユーザーのセキュリティ保護を優先してから、メンバーアカウントのルートユーザーに対処してください。管理アカウントのルートユーザーをセキュリティ保護する戦略は、メンバーアカウントのルートユーザーとは異なり、メンバーアカウントのルートユーザーに対しては予防的なセキュリティコントロールを講じることができます。

実装手順

ルートユーザーのコントロールを確立するには、次の実装ステップが推奨されます。該当する場合、推奨事項は CIS AWS Foundations ベンチマークバージョン 1.4.0 と相互参照されます。これらの手順に加えて、 AWS アカウント および リソースのセキュリティ保護に関するAWS ベストプラクティスガイドラインを参照してください。

予防的コントロール

1. アカウントの正確な連絡先情報を設定します。

   1. この情報は、紛失したパスワードの復旧フロー、紛失したMFAデバイスアカウントの復旧フロー、およびチームとの重要なセキュリティ関連の通信に使用されます。

   2. 企業ドメインによってホストされた E メールアドレスを使用します (ルートユーザーの E メールアドレスとしては、できれば配布リストのほうが望ましい)。個人の E メールアカウントではなく配布リストを使うことにより、長期的にはルートアカウントへのアクセスに対して冗長性と継続性を追加することになります。

   3. 連絡先情報に記載された電話番号は、この目的専用の安全なものである必要があります。この電話番号をどこかに記載したり、誰かと共有したりしないでください。

2. ルートユーザーにはアクセスキーを作成しないでください。アクセスキーがある場合は、削除します (CIS 1.4)。

   1. ルートユーザーに対する長期保存可能なプログラム認証情報 (アクセスキーとシークレットキー) は排除します。

   2. ルートユーザーアクセスキーが既に存在する場合は、これらのキーを使用して AWS Identity and Access Management （IAM) ロールから一時的なアクセスキーを使用するプロセスを移行し、ルートユーザーアクセスキー を削除する必要があります。

3. ルートユーザーの認証情報を保管する必要があるかどうかを決定します。

   1. AWS Organizations を使用して新しいメンバーアカウントを作成する場合、新しいメンバーアカウントのルートユーザーの初期パスワードは、ユーザーに公開されないランダムな値に設定されます。必要に応じて、 AWS Organization 管理アカウントからのパスワードリセットフローを使用してメンバーアカウントにアクセスすることを検討してください。

   2. スタンドアロンアカウント AWS アカウント または Management AWS Organization アカウントでは、ルートユーザーの認証情報を作成して安全に保存することを検討してください。ルートユーザーMFAには を使用します。

4. AWS マルチアカウント環境のメンバーアカウントのルートユーザーには、予防的コントロールを使用します。

   1. メンバーアカウントには、ルートユーザー向けのルートアクセスキーの作成を拒否する予防的ガードレールの使用を検討します。

   2. メンバーアカウントには、ルートユーザーとしてのアクションを拒否する予防的ガードレールの使用を検討します。

5. ルートユーザーの認証情報が必要な場合:

   1. 複雑なパスワードを使用します。

   2. ルートユーザー、特に AWS Organizations 管理 (支払い者MFA) アカウント ( 1.5) の多要素認証 (CIS) を有効にします。

   3. ハードウェアMFAデバイスには障害耐性とセキュリティを考慮してください。シングルユースデバイスは、MFAコードを含むデバイスが他の目的で再利用される可能性を減らすことができます。バッテリーを搭載したハードウェアMFAデバイスが定期的に交換されていることを確認します。（CIS 1.6)

      • MFA ルートユーザーに を設定するには、「仮想MFAまたはハードウェアMFAデバイス」を作成する手順に従ってください。

   4. バックアップに複数のMFAデバイスを登録することを検討してください。アカウント ごとに最大 8 つのMFAデバイスを使用できます。

      • ルートユーザーに複数のMFAデバイスを登録すると、MFAデバイスが紛失した場合、アカウントを復旧するためのフローが自動的にオフになることに注意してください。

   5. パスワードは安全に保管し、電子的にパスワードを保管する際は循環依存関係を検討してください。パスワードを取得 AWS アカウント するために同じ へのアクセスを必要とするような方法でパスワードを保存しないでください。

6. オプション: ルートユーザーに対して定期的なパスワードローテーションスケジュールを設定することを検討します。

   • 認証情報管理のベストプラクティスは、規制およびポリシー要件によって異なります。で保護されたルートユーザーはMFA、認証の単一の要素としてパスワードに依存しません。

   • ルートユーザーのパスワードを定期的に変更することで、意図せず漏洩したパスワードが不正利用されるリスクを減らせます。

「発見的コントロール」

• ルート認証情報CIS ( 1.7) の使用を検出するアラームを作成します。Amazon GuardDuty は、RootCredentialUsage検出結果を通じてルートユーザーのAPI認証情報の使用状況をモニタリングし、警告できます。

• AWS の Well-Architected Security Pillar コンフォーマンスパック AWS Configに含まれる検出コントロールを評価して実装します。また、 を使用している場合 AWS Control Towerは、Control Tower 内で利用可能な強く推奨されるコントロールを評価して実装します。

運用ガイダンス

• 組織で、ルートユーザー認証情報へのアクセスが必要な担当者を決定します。

  • 2 人用のルールを使用して、必要なすべての認証情報に誰もアクセスできないようにしMFA、ルートユーザーアクセスを取得します。

  • 個人ではなく組織が、アカウントに関連付けられた電話番号と E メールエイリアス (パスワードのリセットとMFAリセットフローに使用される) の制御を維持していることを確認します。

• 例外 (CIS 1.7) でのみルートユーザーを使用します。

  • AWS ルートユーザーは、管理タスクであっても、日常的なタスクに使用することはできません。ルートユーザーを必要とするAWS タスクを実行するときは、必ずルートユーザーとしてログインします。その他すべてのアクションは、適切なロールを持つ他のユーザーが実行しなければなりません。

• ルートユーザーにアクセスできることを定期的にチェックし、ルートユーザー認証情報を使用する必要がある緊急事態の前に手順をテストしておきます。

• アカウントに関連付けられている E メールアドレスと代理連絡先に記載されている E メールアドレスが有効であることを定期的にチェックします。これらの E メールの受信箱に、セキュリティに関する通知が <abuse@amazon.com> から届いていないか監視します。また、アカウントに関連付けられた電話番号があれば、それが通じることも確認してください。

• ルートアカウントの不正使用に対処するインシデント対応手順を準備しておきます。 AWS アカウントに対するインシデント対応戦略策定に関する詳細は、「AWS セキュリティインシデント対応ガイド」と、ホワイトペーパー「セキュリティの柱」の「インシデント対応」セクションにあるベストプラクティスを参照してください。

リソース

関連するベストプラクティス:

• SEC01-BP01 アカウントを使用してワークロードを分離する

• SEC02-BP01 強力なサインインメカニズムを使用する

• SEC03-BP02 最小特権アクセスを付与する

• SEC03-BP03 緊急アクセスプロセスを確立する

• SEC10-BP05 事前プロビジョニングアクセス

関連ドキュメント:

• AWS Control Tower

• AWS セキュリティ監査のガイドライン

• IAM ベストプラクティス

• Amazon GuardDuty – ルート認証情報使用状況アラート

• によるルート認証情報の使用のモニタリングに関する Step-by-step ガイダンス CloudTrail

• MFA での使用が承認されたトークン AWS

• でのブレークグラスアクセスの実装 AWS

• で改善すべき上位 10 のセキュリティ項目 AWS アカウント

• 自分の AWS アカウントで不正なアクティビティに気づいた場合はどうすればよいですか?

関連動画:

• Enable AWS adoption at scale with automation and governance

• Security Best Practices the Well-Architected Way

• AWS re:inforce 2022 からAWS ルート認証情報の使用を制限する — によるセキュリティのベストプラクティス AWS IAM

関連する例とラボ:

• Lab: AWS アカウント setup と root ユーザー