セキュリティ

AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践

AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。

約 3 分で読めます

ルートユーザーの特権 - IAM では制限できない

AWS アカウントのルートユーザーは、そのアカウント内のすべてのリソースに対する完全なアクセス権を持ちます。IAM ポリシーで制限することはできません。IAM の Deny ポリシーも、Service Control Policy (SCP) も、ルートユーザーの権限を制限できません。SCP はメンバーアカウントのルートユーザーには適用されますが、管理アカウントのルートユーザーには適用されません。ルートユーザーが危険である理由は、この「制限不能性」にあります。IAM ユーザーやロールは、最小権限の原則に従って必要な権限だけを付与できます。しかし、ルートユーザーは常にすべての権限を持っており、権限を絞ることができません。ルートユーザーの認証情報が漏洩した場合、攻撃者はアカウント内のすべてのリソースにアクセスでき、すべてのデータを削除でき、アカウントの設定を変更でき、さらにはアカウント自体を閉鎖することもできます。

ルートユーザーでしかできない操作

ルートユーザーを完全に封印できない理由は、ルートユーザーでしか実行できない操作が存在するためです。代表的なものを挙げます。アカウントの設定変更 (アカウント名、メールアドレス、パスワードの変更) はルートユーザーでしか行えません。AWS サポートプランの変更もルートユーザーが必要です。S3 バケットポリシーで明示的に全員のアクセスを拒否した場合、そのバケットポリシーを修正できるのはルートユーザーだけです。IAM ユーザーが自分自身のアクセスを拒否するポリシーを設定してロックアウトされた場合も、ルートユーザーで復旧します。GovCloud アカウントの作成、Route 53 ドメインの AWS アカウント間移転、一部の AWS Marketplace サブスクリプションの管理もルートユーザーが必要です。これらの操作は頻度が低いため、ルートユーザーは「緊急時の鍵」として厳重に管理し、日常業務では使用しないのが正しい運用です。

ルートユーザーの MFA - ハードウェアキーが最強

ルートユーザーには必ず MFA (多要素認証) を設定してください。MFA なしのルートユーザーは、メールアドレスとパスワードだけでログインできるため、フィッシングやパスワードリスト攻撃に対して脆弱です。MFA のデバイスには 3 種類あります。仮想 MFA デバイス (Google Authenticator、Authy など) は最も手軽ですが、スマートフォンの紛失や故障でアクセスできなくなるリスクがあります。ハードウェア TOTP デバイス (Gemalto トークンなど) は、専用のハードウェアで OTP を生成します。スマートフォンに依存しないため、仮想 MFA より安全です。FIDO2 セキュリティキー (YubiKey など) は、最も安全な選択肢です。フィッシング耐性があり、秘密鍵がデバイスから取り出せないため、リモートからの攻撃に対して最も強固です。AWS は 2024 年からルートユーザーの MFA を必須化しました。MFA が設定されていないルートユーザーでコンソールにログインすると、MFA の設定を求められます。ルートユーザーの MFA デバイスは、金庫や耐火金庫に保管し、アクセスできる人を限定してください。

Organizations によるルートアクセスの集中管理

AWS Organizations を使用している場合、2024 年に導入された「ルートアクセスの集中管理」機能で、メンバーアカウントのルートユーザーの認証情報を削除できます。この機能を有効にすると、メンバーアカウントのルートユーザーのパスワードと MFA が削除され、ルートユーザーでのログインが不可能になります。ルートユーザーでしかできない操作 (S3 バケットポリシーの修正など) が必要になった場合は、管理アカウントから一時的なルートセッションを発行して実行します。この一時セッションは、指定された操作のみを実行でき、セッションの有効期限が切れると自動的に無効化されます。この設計により、ルートユーザーの認証情報が存在しないため、漏洩のリスクがゼロになります。必要な操作は管理アカウントから一時的に実行できるため、運用上の支障もありません。Organizations を使用していない単一アカウントの場合は、ルートユーザーのアクセスキーを削除し、強力なパスワードと MFA を設定し、日常業務では IAM ユーザーまたは IAM Identity Center のユーザーを使用してください。

ルートユーザーの監視 - 使われたら即座に検知する

ルートユーザーが使用された場合、それ自体が異常事態です。日常業務でルートユーザーを使用しない運用が確立されていれば、ルートユーザーのログインは不正アクセスの可能性を示唆します。CloudTrail はルートユーザーのすべての API 呼び出しを記録します。CloudWatch Logs にルートユーザーの API 呼び出しを検出するメトリクスフィルターを設定し、CloudWatch アラームで即座に通知する仕組みを構築してください。EventBridge (旧 CloudWatch Events) でも、ルートユーザーのコンソールログインイベントを検出できます。イベントパターンで userIdentity.type が Root のイベントをフィルタリングし、SNS トピックに通知を送信します。GuardDuty は、ルートユーザーの異常な使用パターン (通常使用されないリージョンからのログイン、通常使用されない API の呼び出し) を自動的に検出し、セキュリティ検出結果として報告します。ルートユーザーのセキュリティを体系的に学ぶには、専門書籍 (Amazon)が参考になります。

関連するサービス

AWS IAMAWS リソースへのアクセスを安全に管理するための認証・認可サービスAWS Organizations複数の AWS アカウントを一元管理するサービス

関連する記事

IAM ポリシーの評価ロジック完全解説 - 暗黙の Deny が明示的な Allow に勝つ仕組みIAM がリクエストを許可・拒否する際の評価フローを、暗黙の Deny、明示的な Allow、明示的な Deny の優先順位、SCP・パーミッションバウンダリー・セッションポリシーの交差判定まで段階的に解説します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS マルチアカウント統制の設計力 - Organizations・Control Tower・SCP による組織ガバナンスAWS Organizations、Control Tower、SCP (Service Control Policies) を中心とするマルチアカウント統制の仕組みを、Azure Management Groups と比較し、エンタープライズガバナンスの設計力の差を解説します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。CloudTrail はすべてを見ている - API 呼び出しの記録メカニズムとフォレンジック調査の実践CloudTrail が AWS API 呼び出しを記録する仕組み、管理イベントとデータイベントの違い、CloudTrail Lake による SQL 分析、セキュリティインシデント発生時のフォレンジック調査手法を解説します。

内容が近い記事・サービス

AWS IAMAWS リソースへのアクセスを安全に制御するための認証・認可サービスで、ユーザー、グループ、ロール、ポリシーによるきめ細かなアクセス管理を提供するAmazon CognitoWeb ・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービスID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。ユーザー認証の実装 - Cognito によるセキュアな認証基盤の構築Amazon Cognito を活用したユーザー認証基盤の設計と実装を解説し、ユーザープール、ID プール、外部 ID プロバイダー連携による認証フローの構築方法を紹介します。