セキュリティ

IAM Access Analyzer

S3 バケットや IAM ロールなどのリソースポリシーを自動分析し、外部アクセスや未使用の権限を検出してセキュリティ体制の強化を支援するサービス

約 2 分で読めます

概要

IAM Access Analyzer は、AWS リソースに設定されたポリシーを数学的な推論エンジン (自動推論) で分析し、意図しない外部アクセスや過剰な権限を検出するセキュリティサービスです。S3 バケット、IAM ロール、KMS キー、Lambda 関数、SQS キューなどのリソースポリシーを継続的にモニタリングし、外部の AWS アカウントやパブリックからアクセス可能な状態をファインディングとして報告します。さらに、CloudTrail のアクセスログを分析して実際に使用されていない権限を特定し、最小権限ポリシーの自動生成を支援する未使用アクセス分析機能も備えています。カスタムポリシーチェック機能では、ポリシーの変更が意図した範囲に収まっているかを CI/CD パイプラインに組み込んで自動検証できます。

外部アクセス分析とファインディング

Access Analyzer の外部アクセス分析は、リソースポリシーの条件式を自動推論エンジンで網羅的に評価し、信頼の境界 (Zone of Trust) の外部からアクセス可能なリソースを検出します。信頼の境界は通常 AWS アカウント単位で設定しますが、Organizations を利用している場合は組織全体を境界に設定できます。検出されたファインディングには、どのリソースが、どのプリンシパルに、どのアクションを許可しているかが詳細に記載されます。ファインディングのステータスは Active、Archived、Resolved の 3 状態で管理し、意図的な外部共有は Archive に分類して誤検知のノイズを抑えます。アーカイブルールを事前に定義しておけば、特定の条件に合致するファインディングを自動的にアーカイブできます。たとえば「特定のパートナーアカウントへの S3 バケット共有は許可済み」というルールを設定すれば、そのパターンのファインディングは生成時に自動アーカイブされます。EventBridge と連携して新規ファインディングの発生を Security Hub や Slack に通知する運用が推奨されます。

未使用アクセス分析とポリシー最適化

未使用アクセス分析は、CloudTrail のアクセスログを基に、IAM ユーザーやロールに付与されているが実際には使用されていない権限を特定する機能です。分析対象期間 (最大 180 日) を指定すると、その期間中に一度も使用されなかったアクション、未使用のアクセスキー、未使用のパスワード、未使用のロールがファインディングとして報告されます。この情報を基に、過剰な権限を削除して最小権限の原則に近づけることができます。ポリシー生成機能を使えば、CloudTrail ログから実際に使用されたアクションだけを含む IAM ポリシーを自動生成できます。広範な権限 (AdministratorAccess など) で運用を開始し、一定期間のログを蓄積した後にポリシー生成で最小権限に絞り込む段階的アプローチが実務では効果的です。未使用アクセス分析はアカウント単位で有効化し、Organizations の委任管理者アカウントから全メンバーアカウントの分析結果を一元管理できます。料金は分析対象の IAM ロールおよびユーザー 1 つあたり月額 0.20 USD で、大規模環境でもコスト予測が容易です。

カスタムポリシーチェックと CI/CD 統合

カスタムポリシーチェックは、IAM ポリシーの変更が組織のセキュリティ基準に適合しているかを自動推論で検証する機能です。たとえば「s3:* を許可するポリシーは禁止」「特定の KMS キーへのアクセスは限定されたロールのみ許可」といったルールを定義し、ポリシーの変更がそのルールに違反していないかをプログラム的に判定できます。CheckNoNewAccess API は、既存ポリシーと新しいポリシーを比較して、新たに追加されるアクセス権限がないかを検証します。CheckAccessNotGranted API は、指定したアクションやリソースへのアクセスがポリシーに含まれていないことを確認します。これらの API を CodePipeline や GitHub Actions の承認ステップに組み込めば、セキュリティ基準を満たさないポリシー変更がデプロイされる前に自動的にブロックできます。Terraform や CloudFormation のテンプレートに含まれる IAM ポリシーを CI パイプラインで事前検証するパターンが、大規模組織でのガバナンス強化に有効です。検証結果は PASS または FAIL で返されるため、パイプラインの条件分岐に直接利用できます。

共有するXB!

関連する用語

AWS IAMAmazon GuardDutyAWS Security HubAWS ConfigAWS Organizations

関連するサービス

AWS IAMAmazon GuardDutyAWS Security HubAWS CloudTrailAWS Organizations

関連する記事

マルチアカウント戦略と AWS Organizations - クラウドガバナンスの最適解Organizations の OU 階層設計と SCP によるガバナンス制御で、セキュリティ境界の確立とコスト配分の最適化を実現する。Control Tower のガードレールと統合請求によるマルチアカウント運用の全体像を解説します。IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。AWS CloudTrail で実現する API 監査ログ - 証跡の設計とセキュリティ分析全 API アクティビティを記録し、CloudTrail Lake の SQL クエリで高度な分析を実行する。Insights による異常パターンの自動検出と EventBridge 連携のリアルタイム検出を紹介します。

内容が近い用語・記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。IAM Access Analyzer外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービスID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。AWS IAM のきめ細かいアクセス制御 - ポリシーベース設計が実現する最小権限の原則AWS IAM のポリシーベースアクセス制御の設計思想を解説し、Azure RBAC や GCP IAM との粒度の違いを具体的に比較します。