マルチアカウント構成のセキュリティ基準を設けることで、セキュリティ統制を図る目的で記載している。
セキュリティ統制の適用については、抜け漏れ防止や設定ミスが起こらないようコード化を取り入れている。
・管理アカウント:SCPなど、管理アカウントでしか実施できない項目のみ管理する
・委任先アカウント:管理アカウントから委任を受け、セキュリティ関連のサービス/証跡を一元管理する
・メンバアカウント:上記2種のアカウントに管理されるアカウント、システム要件のリソースを配置する
サービス名 | 設定概要 | 備考 |
---|---|---|
IAM | 強力なパスワードポリシーを設定 | パスワードの最小文字数は 14 文字です |
1 文字以上のアルファベット大文字 (A~Z) を必要とする | ||
1 文字以上のアルファベット小文字 (a~z) を必要とする | ||
少なくとも 1 つの数字が必要 | ||
少なくとも 1 つの英数字以外の文字が必要 | ||
パスワードは 90 日で有効期限が切れます | ||
ユーザーにパスワードの変更を許可する | ||
EBS | 全リージョンでデフォルト暗号化を有効 | |
デフォルトVPC | 全リージョンで削除 | |
S3(アカウント/バケット) | アカウント/バケット単位でパブリックアクセスの禁止 | |
AWS IAMAccessanalyzer | 全リージョンで有効化 | |
AWS SecurityHub | 全リージョンで有効化 | AWSの基本的なセキュリティのベストプラクティス標準のみ有効化 |
Amazon Detective | 全リージョンで有効化 | |
Amazon GuardDuty | 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 | 専用のS3ログバケットを作成/アクセスログを取得 |
AWS Config | 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 | 専用のS3ログバケットを作成/アクセスログを取得 |
AWS CloudTrail | 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 | 専用のS3ログバケットを作成/アクセスログを取得 |
Amazon EventBridge | 特定のイベントを「ログは委任された管理アカウント」に集約しSNSからメール連携 | |
AWS ManagKeyement Service | 必要に応じて、CMKを作成/暗号化 | |
Amazon Athena/Glue | アクセスログ解析用のS3バケット/データベース/テーブルを作成 | |
AWS Macie | - | 業務要件にて必要に応じて対応する方針とする。 |