SEC02-BP01 強力なサインインメカニズムを使用する

サインイン (サインイン認証情報を使った認証) は、多要素認証 (MFA) などのメカニズムを使わない場合、特にサインイン認証情報が不用意に開示されたり、容易に推測されたりする場合に、リスクが発生する恐れがあります。MFA や強力なパスワードポリシーを要求することで、これらのリスクを軽減する強力なサインインのメカニズムを使用します。

期待される成果: AWS Identity and Access Management (IAM) ユーザー、AWS アカウントルートユーザー、AWS IAM Identity Center (AWS Single Sign-On の後継)、およびサードパーティー ID プロバイダーに強力なサインインメカニズムを使用することで、AWS の認証情報への意図しないアクセスのリスクを軽減します。これは、MFA が必須となり、強力なパスワードポリシーが適用され、異常なログイン動作が検出されることを意味します。

一般的なアンチパターン:

• 複雑なパスワードや MFA など、自分のアイデンティティに対して強力なパスワードポリシーを適用しない。

• 複数のユーザー間で同一の認証情報を共有する。

• 疑わしいサインインに対して検出コントロールを使用しない。

このベストプラクティスを活用しない場合のリスクレベル: 高

実装のガイダンス

人的 ID が AWS にサインインする方法は多数あります。AWS ベストプラクティスは、AWS に認証する際にフェデレーション (直接フェデレーションまたは AWS IAM Identity Center を使用) を使って、一元化された ID プロバイダーに依存する方法です。この場合、ID プロバイダーまたは Microsoft Active Directory を使って、セキュアなサインインプロセスを確立する必要があります。

最初に AWS アカウントを開いたとき、AWS アカウントルートユーザーから始めます。アカウントのルートユーザーは、ユーザー (およびルートユーザーを必要とするタスク) のアクセスを設定するときのみに使用することを推奨します。AWS アカウントを開いた直後にアカウントのルートユーザーに対して MFA を有効化し、AWS ベストプラクティスガイドを使用してルートユーザーをセキュリティ保護することが重要です。

AWS IAM Identity Center でユーザーを作成する場合、そのサービスでサインインプロセスをセキュリティ保護します。コンシューマーアイデンティティについては、Amazon Cognito ユーザープールを使用して、そのサービスで、または Amazon Cognito ユーザープールユーザープールがサポートする ID プロバイダーの 1 つを使ってサインインプロセスをセキュリティ保護します。

AWS Identity and Access Management (IAM) ユーザーを使用している場合、IAM を使ってサインインプロセスをセキュリティ保護することになります。

サインイン方法に関係なく、強力なサインインポリシーを適用することが不可欠です。

実装手順

一般的な強力なサインインに関する推奨事項は次のとおりです。実際に行う設定は、組織のポリシーによって設定するか、または NIST 800-63 のような標準を使います。

• MFA が必要。人的 ID とワークロードに対しては、MFA を義務付けることが IAM のベストプラクティスです。MFA を有効にすることで、追加のセキュリティ層が提供されます。この層では、ユーザーがサインイン認証情報、ワンタイムパスワード (OTP)、またはハードウェアデバイスから暗号的に検証および生成された文字列を提供することが求められます。

• 最小パスワード文字数を適用します。これは、パスワードの強さにおける主な要素です。

• パスワードの複雑性を適用すると、パスワードを推測しにくくなります。

• 自分のパスワードの変更をユーザーに許可します。

• 共有認証情報ではなく、個別の ID を作成します。個別の ID を作成することで、各ユーザーに固有のセキュリティ認証情報を付与することができます。個別のユーザーを作成することで、各ユーザーのアクティビティを監査する機能が利用できます。

IAM アイデンティティセンターレコメンデーション:

• IAM アイデンティティセンターは、デフォルトディレクトリを使用する際、パスワードの文字数、複雑性、および再使用要件を確立する、事前定義されたパスワードポリシーを提供します。

• MFA を有効にし、アイデンティティソースがデフォルトディレクトリ、AWS Managed Microsoft AD、または AD Connector の場合、MFA に対してコンテキストアウェアまたは常時オン設定を行います。

• ユーザーが自分の MFA デバイスを登録できるようにします。

Amazon Cognito ユーザープールディレクトリのレコメンデーション:

• パスワードの強さ設定を行います。

• ユーザーに MFA を義務付けます。

• 疑わしいサインインをブロックできる適応型認証などの機能に対して、Amazon Cognito ユーザープール上級セキュリティ設定を使用します。

IAM ユーザーのレコメンデーション:

• IAM アイデンティティセンターまたは直接フェデレーションを使用することが理想的です。しかし、IAM ユーザー向けのニーズもあるでしょう。その場合は、IAM ユーザー向けにパスワードポリシーを設定します。パスワードポリシーを使用して、最小文字数、またはアルファベット以外の文字が必要かどうかなどの要件を定義できます。

• IAM ポリシーを作成して、MFA サインインを適用し、ユーザーが自分のパスワードと MFA デバイスを管理できるようにします。

リソース

関連するベストプラクティス:

• SEC02-BP03 シークレットを安全に保存して使用する

• SEC02-BP04 一元化された ID プロバイダーを利用する

• SEC03-BP08 組織内でリソースを安全に共有する

関連ドキュメント:

• AWS IAM Identity Center パスワードポリシー

• IAM ユーザーのパスワードポリシー

• AWS アカウントルートユーザーのパスワードの設定

• Amazon Cognito パスワードポリシー

• AWS 認証情報

• IAM セキュリティのベストプラクティス

関連動画:

• Managing user permissions at scale with AWS IAM Identity Center

• Mastering identity at every layer of the cake