ルートユーザーの活用と管理を徹底的に深掘る

Transcript

1. ルートユーザーの活用と管理を徹底的に深掘る NRIネットコム TECH AND DESIGN STUDY#60 2025年3月27日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部

   大林 優斗

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   ◼ 登壇者：大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ 500以上のAWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 自己紹介

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   ルートユーザーの運用におけるアンチパターン

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   ◼ AWSのベストプラクティスから考えるルートユーザーの運用におけるアンチパターン。 ルートユーザーの運用におけるアンチパターン No アンチパターン 1 MFAを設定していない ➢ 例：ルートアカウントのログインがパスワードのみ ➢ 危険性：パスワード流出時に即座に不正アクセス ➢ 対策：仮想MFA / ハードウェアMFA / セキュリティキーの導入 2 アクセスキーを発行・放置している ➢ 例：スクリプトやアプリに直書き ➢ 危険性：キー漏洩時の即時アクセス可能状態 ➢ 対策：基本的にアクセスキーは使用しない 3 日常業務にルートユーザーを使用している ➢ 例：初期作成後ずっとルートで操作 ➢ 危険性：権限制御不可・変更記録が曖昧 ➢ 対策：承認を得てからルートユーザーを使用する

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   ルートユーザーを適切に管理していくために

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   増加しつづけるルートユーザー ルートユーザーを適切に管理していくため ◼ 単一アカウントでシステムを管理することの問題点 ⚫ 複数環境のAWSリソースが単一アカウントにあることでリソースの追跡性が損なわれる ⚫ 誤ったリソースの操作が発生する可能性がある ⚫ クォータの制限に引っ掛かりやすくなる ⚫ 攻撃の影響が広がりやすい AWS account Virtual private cloud (VPC) 開発環境 Virtual private cloud (VPC) 検証環境 Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2)

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   増加しつづけるルートユーザー ルートユーザーを適切に管理していくため ◼ マルチアカウントでシステムを管理することの重要性 ⚫ リソースの追跡性が容易になる ⚫ 誤ったリソースの操作が発生する可能性を抑えられる ⚫ クォータの制限に引っ掛かりにくい ⚫ 攻撃の影響を制限しやすい ⚫ コスト配分の容易性を強化する ➢ 一方で、その分ルートユーザーが増えてしまう AWS account Virtual private cloud (VPC) 開発環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 検証環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2)

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   増加しつづけるルートユーザー ルートユーザーを適切に管理していくため ◼ AWS IAM Identity Centerを活用することでIAMユーザーに最小権限を付与してを管理することができる ➢ ルートユーザーは管理できない System A OU Account Account Account System B OU Account Account Account System C OU Account Account Account Management account AWS IAM Identity Center

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   増加しつづけるルートユーザー ルートユーザーを適切に管理していくため ◼ [ AWS CloudTrail ] ルートユーザーが使用されていることに早期に気づきたい ➢ そのルートユーザーは本当に意図したものなのかを明確にする バージニア北部リージョン 東京リージョン Amazon EventBridge Custom event bus AWS Lambda Amazon SNS 管理者 Amazon EventBridge AWS CloudTrail Account A Audit

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    増加しつづけるルートユーザー ルートユーザーを適切に管理していくため ◼ [ Amazon GuardDuty ] ルートユーザーが使用されていることに早期に気づきたい ➢ 「IAMUser/RootCredentialUsage」を検出したら通知する バージニア北部リージョン 東京リージョン Amazon EventBridge Custom event bus AWS Lambda Amazon SNS 管理者 Amazon EventBridge Account A Audit Amazon GuardDuty

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    増加しつづけるルートユーザー ルートユーザーを適切に管理していくため ◼ [ Amazon GuardDuty ] ルートユーザーが使用されていることに早期に気づきたい ➢ GuardDutyはCloudTrailのデータを処理して脅威を検出する 保護プラン Amazon GuardDuty VPC Flow Logs AWS CloudTrail DNS Query Logs Amazon EC2 Amazon EKS Amazon ECS Amazon RDS AWS Lambda Amazon S3 Amazon EBS

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    増加しつづけるルートユーザー ルートユーザーを適切に管理していくため ◼ [ AWS CloudTrail ] ルートユーザーが使用されていることに早期に気づきたい ➢ 1分1秒でも早くルートユーザーが使用されていることに気付くためにはCloudTrailをもとに通知する バージニア北部リージョン 東京リージョン Amazon EventBridge Custom event bus AWS Lambda Amazon SNS 管理者 Amazon EventBridge AWS CloudTrail Account A Audit

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルート認証情報の一元管理とルートセッション

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルート認証情報の一元管理

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルートアクセスの無効化（キー削除） ルート認証情報の一元管理 ◼ 内容： • AWS Organizationsを使用すると、メンバーアカウントのルートユーザーから認証情報を削除できる • これにより、ルートユーザーの長期的なアクセス情報の悪用リスクを排除できる ◼ 背景・課題： • 多くのアカウントでルートユーザーが発行されると管理が煩雑になる ◼ 効果： • 全アカウント横断でルートの認証情報を削除可能 • IAMユーザーやロールベースのアクセスに統一できる • ガバナンス強化 ◼ 活用ポイント： • Control Towerの設定と連携 参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    リカバリ防止（再設定不能に） ルート認証情報の一元管理 ◼ 内容： • ルートユーザーの認証情報を削除した後、回復手段（メール変更や再設定）も封じることが可能 • 意図しない再有効化や再設定による誤用・誤操作のリスクを根本から排除 ◼ 背景・課題： • 一時的に無効化しても、再設定されると再びリスクに • 人的ミスや悪意ある内部者による再有効化の恐れ ◼ 効果： • 不可逆なセキュリティ強化（再度使えないことで安心） • 従業員による設定ミスを抑止 • 認証情報の完全無効化が可能に ◼ 活用ポイント： • セキュリティチームがアカウントの責任を持つ体制へ • リカバリメールアドレスや電話番号も一元管理 参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    セキュアバイデフォルトアカウントの自動作成 ルート認証情報の一元管理 ◼ 内容： • AWS Organizationsでは、ルート認証情報を一切設定せずにアカウントを作成可能 ※ アカウント作成時にメールアドレスが不要になるわけではない • 作成後に不要なセキュリティ設定を追加する必要がない ◼ 背景・課題： • 手動作成ではルートユーザーにパスワードが付与される • MFA未設定や初期パスワードの放置が発生しがち ◼ 効果： • アカウント作成直後からルートアクセス不能 • セキュリティ設定の自動化が容易になる • 後からの対処が不要になる＝運用効率UP ◼ 活用ポイント： • Control Tower + AWS Organizationsで自動プロビジョニング • 追加セキュリティ設定の自動適用（例：SCPでルート利用禁止） 参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

18. 17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルート認証情報の一元的なステータス監視 ルート認証情報の一元管理 ◼ 内容： • AWS Organizationsでは、全メンバーアカウントのルートユーザーの状態を一元管理できる • 状態はAPIやConfigルールを通じて継続的に監視可能 ◼ 背景・課題： • アカウントごとにルートユーザーの設定がバラバラ • 確認・是正作業が人手・属人化しやすい ◼ 効果： • ガバナンス強化と監査対応の容易化 • 長期的に「ルート不要」な状態を維持可能 参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

19. 18 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルートセッションを活用した運用

20. 19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルートセッションによる管理 ルートセッションを活用した運用 ◼ 内容： • AWS Organizations を使用して、管理アカウントからメンバーアカウントに対して短期的に制限されたルートアクセスを取得でき る機能 ◼ 実行できるアクション： • ルートユーザー認証情報の監査 • ルートユーザー情報を確認するための読み取り専用アクセス • アカウントリカバリの再有効化 • ルート認証情報なしでのアカウントリカバリの再アクティブ化 • ルートユーザー認証情報の削除 • コンソールパスワード、アクセスキー、署名証明書、および MFA デバイスの削除 • S3 バケットポリシーのロック解除 • 「Deny:*」（すべてのプリンシパルを拒否）を含むS3バケットポリシーの編集または削除 • SQS キューポリシーのロック解除 • 「Deny:*」（すべてのプリンシパルを拒否）を含むAmazon SQSリソースポリシーの編集または削除 参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

21. 20 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルートセッションによる管理 ルートセッションを活用した運用 ◼ 実行できるアクションをどのように実行するのか ⚫ 実行できるアクションのうち1つのポリシーを指定する必要がある ⚫ S3 バケットポリシーのロック解除を指定したコマンド 参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/ aws sts assume-root ¥ --target-principal [account id] ¥ --task-policy-arn arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy

22. 21 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルート認証情報の一元管理とルートセッションの注意点

23. 22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    メンバーアカウントへの影響 ルート認証情報の一元管理とルートセッションの注意点 ◼ ルート認証情報の一元管理とルートセッションを有効化後にできるアクション • ルートユーザー認証情報の監査 • アカウントリカバリの再有効化 • ルートユーザー認証情報の削除 • S3 バケットポリシーのロック解除 • SQS キューポリシーのロック解除 ◼ ルート認証情報の一元管理とルートセッションを有効化後にできないアクション（一部） • S3 MFA Delete • 請求情報の表示 • リザーブドインスタンスマーケットプレイスに出品者として登録 参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

24. 23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    メンバーアカウントへの影響 ルート認証情報の一元管理とルートセッションの注意点 ◼ ルート認証情報の一元管理とルートセッションを有効化後にできないアクション（一部） • S3 MFA Delete • 請求情報の表示 • リザーブドインスタンスマーケットプレイスに出品者として登録 ◼ これらのアクションを実行するには、メンバーアカウントのルートユーザーが必要 ➢ メンバーアカウントで作業が発生するたびにCCoEが作業しなくてはならない 参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

25. 24 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルート認証情報の一元管理とルートセッションの導入を検討する

26. 25 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CCoEの運用負荷を軽減するのか ルートユーザーの一元管理とルートセッションの導入を検討する ケース1：とにかく堅牢な環境を構築したい場合 ◼ アクション：ルートユーザーの一元管理とルートセッションの導入してもよい ◼ 影響 ⚫ メンバーアカウントでルートセッションの対象外となっているルートユーザーが必要なアクションが発生するたびにCCoEの運用負荷は 増加する ⚫ メンバーアカウントでの開発作業にも開発スケジュールなどの影響が出る可能性がある Account A ルートユーザー Account B ルートユーザー Account C ルートユーザー Management account

27. 26 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    CCoEの運用負荷を軽減するのか ルートユーザーの一元管理とルートセッションの導入を検討する ケース2：ガバナンスを効かせつつ柔軟な環境を構築したい場合 ◼ アクション：ルートユーザーの一元管理とルートセッションの導入は見送る ◼ 影響 ⚫ メンバーアカウントでの開発作業への影響を最小限に抑えられる ⚫ CCoEはメンバーアカウントのルートユーザーが適切に管理されているのかを監視し続ける必要がある Account A ルートユーザー Account B ルートユーザー Account C ルートユーザー Management account

28. 27 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ルートユーザーの管理 ルートユーザーの一元管理とルートセッションの導入を検討する ケース2：ガバナンスを効かせつつ柔軟な環境を構築したい場合 ◼ AWS Security Hubを活用して、ルートユーザーを管理する ⚫ ルートユーザーにMFAが設定されていない ⚫ ルートユーザーのアクセスキーが発行されている Security OU Audit System OU Member 01 Member 02 AWS Security Hub AWS Security Hub AWS Security Hub

29. 28 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    まとめ

30. 29 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    ◼ 基本的にはルートユーザーは使用しない ◼ ルートユーザーの使用に早期に気づく仕組みを作成する ◼ ルートアクセスの一元管理はメンバーアカウントでの作業を制限する可能性があるため導入は慎重に行う ➢AWSには便利な機能が多くある。その機能を活用して各環境のベストプラクティスを実現す るために取捨選択していく必要がある まとめ
31. None