AWSのネットワーク設定にクラウド監査スキャンを試してみた

従来データセンターや社内にあったサーバ群を、AWSをはじめとするパブリッククラウドへ移行する企業が増加している。

しかしながら、パブリッククラウドを利用する場合、インターネットから直接アクセス可能であるため、設定の誤りが即セキュリティインシデントへつながってしまうリスクをはらんでいる。

今回は、Tenable.ioのクラウド監査スキャンをAWSに対して実施してみて、設定誤りなどのリスクを検出してみたいと思う。

まず、事前準備として監査スキャンをしたいAWSにIAMユーザを作成しておきReadOnly accessのGroupを割り当てておく必要がある。このユーザはTenable.io用のものであり、監査スキャンで用いられるものとなる。

Tenable.io用に割り当てたIAMユーザのアクセスキーとシークレットキーをあらかじめ控えた上で、Tenable.ioの監査スキャン設定を行っていく。

まず、スキャン設定からテンプレートで"Audit Cloud Infrastructure"を選択する。

• 

"Credentials"タブにて、"Amazon AWS"を選択し、事前に控えていたアクセスキーとシークレットキーを入力する。

• 

続いて"Compliance"タブにて"AMAZON AWS"を選択する。Tenable社側で対応しているComplianceのリストが表示されるが、ここでは"Tenable AWS Best Practice Audit"を用いることにする。

• 

これだけで準備は完了である。後はスキャンを実行するとわずか数分で結果が表示されることになる。

• 

脆弱性スキャンとは異なり、PASSDやWARNINGの項目も存在している。監査スキャンに合格した項目や注意すべき項目を確認したいという運用者のニーズに応えたつくりとなっている。

右上の検索ボックスでキーワードを入力すれば、必要な項目のみ表示させることも可能である。下図では"password"と打ち込んだところである。

• 

"FAILEDIAM: GetAccountPasswordPolicy - 'Minimum password length >= 8'" (IAMアカウントのパスワードポリシーが8文字以上になっているかのチェック)をクリックすると、結果の詳細を確認することが出来るようになっている。

• 

検査内容の説明はもちろん、"Output"の項目では実際に設定されている内容が表示されるので、どのように修正すべきがわかりやすい。今回の例であれば、そもそもパスワードポリシーが設定されていないことがわかる。

以上見てきたように、AWSの監査スキャンも非常に容易に行えることがお分かりになっただろう。ちょっとした手間でAWS利用におけるリスクを大幅に軽減出来るため、AWSをご利用しているユーザは是非とも試していただきたい機能である。

次回はWeb App Scanについてご紹介したい。

技術者が語るサイバーエクスポージャーのすすめ

第3回はこちら

連載一覧はこちら