IAM Access Analyzer のアイコン

IAM Access Analyzer

外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス

約 1 分で読めます

何ができるか

IAM Access Analyzer は、S3 バケットや IAM ロールなどの AWS リソースが外部のアカウントやインターネットからアクセス可能になっていないかを自動的に分析するサービスです。さらに、一定期間使用されていない IAM 権限を検出し、最小権限の原則に沿ったポリシーの作成を支援します。意図しないアクセス許可を早期に発見し、セキュリティリスクを低減できます。

どのような場面で使うか

S3 バケットや KMS キーが意図せず外部公開されていないかの定期チェック、IAM ポリシーの棚卸しによる不要な権限の削除、新しいポリシーをデプロイする前の事前検証 (ポリシー検証) などに活用されています。コンプライアンス監査の準備として、アクセス権限の可視化にも利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

会社のセキュリティ監査員に例えるとわかりやすいでしょう。監査員は各部屋 (リソース) のドアの鍵 (アクセス権限) を定期的にチェックし、外部の人が入れる状態になっていないか、使われていない鍵が放置されていないかを報告します。問題が見つかれば即座にアラートを出し、適切な鍵の設定を提案してくれます。

IAM Access Analyzer とは

IAM Access Analyzer は、AWS リソースへのアクセス権限を自動的に分析し、セキュリティ上の問題を検出するサービスです。AWS では S3 バケットポリシーや IAM ロールの信頼ポリシーなど、さまざまな場所でアクセス許可を設定します。設定が複雑になると、意図せず外部からアクセス可能な状態になることがあります。Access Analyzer はこうした問題を自動的に発見し、修正を促します。

外部アクセスの検出

Access Analyzer は、S3 バケット、IAM ロール、KMS キー、Lambda 関数、SQS キューなどのリソースポリシーを分析し、自分の AWS アカウント外からアクセスできる設定がないかを検出します。検出結果は「findings (検出結果)」として一覧表示され、意図的なものか意図しないものかを確認できます。意図的な共有であれば「アーカイブ」、意図しないものであればポリシーを修正します。

未使用アクセスの分析

Access Analyzer は、IAM ユーザーやロールが実際に使用しているアクセス権限を分析し、一定期間使われていない権限を検出します。たとえば、90 日間一度も使われていない S3 への書き込み権限があれば、それを報告します。この情報をもとに不要な権限を削除することで、最小権限の原則を実現し、万が一の認証情報漏洩時の被害範囲を最小化できます。

はじめかた

IAM コンソールの「Access Analyzer」メニューからアナライザーを作成します。信頼ゾーンとして AWS アカウントまたは組織を選択すると、分析が自動的に開始されます。数分で検出結果が表示されるので、各結果を確認して対処します。EventBridge と連携すれば、新しい検出結果が出たときに自動通知を受け取ることも可能です。

注意点

  • アナライザーの作成は無料だが、未使用アクセス分析は分析対象の IAM ロール・ユーザー数に応じて課金される
  • 検出結果は意図的な共有を含む場合があるため、すべてが問題とは限らない。各結果を確認してアーカイブまたは修正を判断すること
  • Organizations と連携すると、組織全体を信頼ゾーンとして設定でき、組織外への意図しないアクセスのみを検出できる

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス