Copyright © 2014 AGREX INC.

第13回 JAWS-UG札幌 勉強会

意外と見落としがちな･･･

アカウントのセキュリティ

2014/04/11

札幌事業所 システム部 古山浩司

Copyright © 2014 AGREX INC. 1

自己紹介

(株)アグレックス 札幌事業所

・クラウドグループ マネージャー

・AWS Certified Solution Architect

JAWS-UG札幌支部 代表

好きなサービス ： RDS

こやま ひろし

古山 浩司

AWSの セキュリティ方針 ＝共有責任

モデル

共有責任モデル

・ファシリティ ・物理インフラ

・ネットワークインフラ ・仮想インフラ

・OS ・OSファイアウォール ・アプリケーション

・セキュリティグループ ・ネットワーク設定 ・アカウント管理

AWSと利用者の二者互いの協力でセキュリティを確保

・OS ・OSファイアウォール ・アプリケーション ・セキュリティグループ ・ネットワーク設定 ・アカウント管理

利用者の責任

・User ・KeyPair

・iptables ・Windows Firewall

・Security Patch

・VPC ・Network ACLs

・Inbound Rule ・Outbound Rule

・IAM

IAM (Identity and Access Management)

ルートアカウント

IAM User

ルートアカウント･･･

これを自在に操れる恐ろしさ！

ルートの権力を以ってすれば･･･

こんなことや･･･

こんなことまで･･･

利用者にとっての最重要事項

＝ルートアカウント死守！

デフォルトのログイン

パスワードだけでホントに大丈夫？

Multi-Factor Authentication

(多要素認証)

MFA

1st Step ログインパスワード

2nd Step 30秒間だけ有効な、 6桁の認証コードを要求される

ハードウェアMFAデバイス http://onlinenoram.gemalto.com/

- 1個 $12.99 - アカウント毎に1個必要

バーチャルMFA Google認証システム - 無料 - 複数アカウントOK

認証コードを生成する方法

MFA有効化の手順 -1

IAMダッシュボード

MFA有効化の手順 -2

MFA有効化の手順 -3

①スキャン

②Code1に入力

③数字が有効なうちにContinue

147930

④数字が変わったら、 Code2に入力

⑤数字が有効なうちにContinue

MFA有効化の手順 -4

093158

MFA有効化の手順 -5

MFA Enabled になる ↓

注意点

QRコードは安全な場所に 保管しておくこと！ 再表示できないので、設定した端末が壊れたり紛失したりすると、ログイン不能！ (AWSサポートに連絡すれば解除可能らしいが･･･)

安全な場所？？

･･･なわけないです。。

アカウント情報は で一元管理 ！

Copyright © 2014 AGREX INC. 23

まとめ

アカウントのセキュリティは意外と盲点。 • アカウント管理が緩いと全てが台無し。 • ルートアカウントを乗っ取られたら被害は甚大。

万一の備えとしてMFAを積極的に活用すること。 • MFA無しでの業務利用は絶対NG！ • ルートのみならず、IAMユーザも必須。

アカウント情報の保管場所にも細心の注意を。 • 保有アカウントが増えると雑になりがち。 • salesforceは使える！