クラウドのセキュリティインシデントの95%は設定ミスが原因(Gartner調査)。クラウドプロバイダーは堅牢なインフラを提供していますが、設定は利用者の責任です。この「責任共有モデル」を正しく理解し、設定を見直しましょう。
IAM(Identity & Access Management)
最も重要で、最もミスが多い領域です。
必須設定 - [ ] ルートアカウント(AWS)/ オーナーアカウント にMFAを設定 - [ ] ルートアカウントのアクセスキーを削除 - [ ] **最小権限の原則**:必要最小限の権限のみ付与 - [ ] IAMユーザーではなく**IAMロール**(一時的な認証情報)を使用 - [ ] 長期間未使用のアカウントと権限を定期削除(90日ルール) - [ ] **SCPs(Service Control Policies)**でガードレールを設定 - [ ] パスワードポリシー:14文字以上、MFA必須
AWS固有 - [ ] IAM Access Analyzerを有効化 - [ ] CloudTrailの組織レベル有効化 - [ ] GuardDutyの全リージョン有効化
GCP固有 - [ ] Organization Policyの設定 - [ ] VPC Service Controlsの導入 - [ ] Security Command Centerの有効化
ネットワーク
- [ ] デフォルトVPCを使用しない(削除推奨)
- [ ] セキュリティグループで0.0.0.0/0 のインバウンド許可がないか確認
- [ ] パブリックサブネットに配置するリソースを最小化
- [ ] VPCフローログを有効化
- [ ] PrivateLink / VPCエンドポイントでAWSサービスへのプライベート接続
- [ ] WAF(Web Application Firewall)の導入
データ暗号化
- [ ] 保存時暗号化:S3、RDS、EBSなど全ストレージで有効化
- [ ] 転送中暗号化:TLS 1.3以上を強制
- [ ] KMS(Key Management Service)でCMK(カスタマーマネージドキー)を使用
- [ ] S3バケットのパブリックアクセスブロックを有効化
- [ ] S3バケットポリシーで暗号化されていないアップロードを拒否
- [ ] RDSの自動バックアップ暗号化を確認
ログ・監視
- [ ] CloudTrail(AWS)/ Cloud Audit Logs(GCP)を全リージョンで有効化
- [ ] ログを別アカウントのS3バケットに保存(改ざん防止)
- [ ] CloudWatch Alarms / Cloud Monitoringで異常検知
- [ ] 不正APIコールのアラート設定
- [ ] ログの保持期間を規制要件に合わせて設定(最低1年推奨)
- [ ] SIEM(Splunk、Elastic Security等)への集約
コスト面のセキュリティ
見落としがちですが、クラウドの不正利用はコスト爆発にもつながります。
- [ ] 請求アラートを設定(通常の200%で警告)
- [ ] AWS Budgets / GCP Budget Alertsで月額上限を設定
- [ ] 不要なリソースの定期棚卸し
- [ ] Reserved Instances / Committed Use Discountsの活用
自動チェックツール
手動確認だけでは限界があります。以下のツールで自動化しましょう。
- AWS Security Hub:AWS環境のベストプラクティスチェック
- Prowler:OSSのAWSセキュリティ監査ツール
- ScoutSuite:マルチクラウド対応のOSS監査ツール
- Checkov:IaC(Terraform等)のセキュリティスキャン
この記事のポイント
- クラウドインシデントの95%は設定ミスが原因
- IAMの最小権限化が最も重要かつ最もミスが多い領域
- ルートアカウントのMFA設定は最初にやるべき設定
- 0.0.0.0/0 のインバウンド許可は即座に修正する
- 自動監査ツールで定期的にチェックし、設定ドリフトを検知する
#AWS#GCP#クラウドセキュリティ#IAM#チェックリスト