AWSアカウントに関するルール
- [Account.1]:AWSアカウントのセキュリティ連絡先情報を提供してください
このルールは新設されたAWSアカウントに関するルールです。AWSアカウントには、アカウントの新規払い出し時のプライマリ連絡先に加えて、代替連絡先を設定することが可能です。ここで設定された代替連絡先は、そのカテゴリに応じて、AWSからさまざまな通知がメール送付されるようになります。
今回追加されたルールは3つあるカテゴリのうち、セキュリティカテゴリの代替連絡先を設定しているかをチェックする内容となっています。これを設定することにより、たとえばIAMユーザの乗っ取りなどの理由でAWSアカウントを不正に利用されていることの通知メールを、設定先のメールアドレスから受け取ることができ、迅速にセキュリティインシデントに反応できる可能性が高まります。
ただし一部のAWSリセラーでは、本設定を開放していない場合もありますので、設定可能かは確認しておくとよいでしょう。
API Gatewayに関するルール
- [APIGateway.8]:WebsocketとHTTPのAPIゲートウェイルートに認証タイプを指定してください
- [APIGateway.9]:API Gateway V2ステージのアクセスログを有効にしてください
API Gatewayは、RESTful APIなどのAPIをAWSに構築・ホストをしてくれるマネージドサービスです。AWSでAPIを構築する際には、第一候補となることが多く、昨今のマイクロサービスアーキテクチャのシステムでは採用されることが多いサービスかと思います。下記3種類のAPIを構築できます。
タイプ | 説明 |
---|---|
REST | RESTful API。AWS WAFとの連携など高機能 |
HTTP | RESTful API。RESTタイプよりも機能を限定することで低価格で利用可能 |
WebSocket | WebSocketプロトコルによるクライアントとサーバ間の双方向通信を実現するAPI |
今回追加されたルールは、上記のHTTPおよびWebSocketのタイプのAPIに認証とログ設定がされているかを確認します。
もし誤って誰からでも呼び出されるAPIとなっていると、不正利用が想定されることから、設定可能ないずれかの認証設定が実施されているかを確認しています。
またログがなければ、有事の際の確認ができなくなることから、ログ設定が行われていることも確認するルールが追加されています。なお、RESTタイプおよびWebSocketのAPIに関しては、ログ設定をチェックするルールはすでに用意されており、今回追加されたルールと一部内容が重複しています。
CloudFrontに関するルール
- [CloudFront.12]:CloudFrontディストリビューションが存在しないS3オリジンをポイントしないようにしてください
CloudFrontはAWSが提供するマネージドなCDNサービスです。CloudFrontを利用するシーンとしては、S3上に配置されている静的コンテンツの低レイテンシーでの配信が挙げられると思います。
今回追加されたルールは、CloudFrontの背後に存在しないS3を指定しないことを確認します。もしこのようになっていれば、おそらくは誤設定またはS3バケットの誤削除をしてしまった可能性が高いと考えられます。また加えてAWSからは悪意ある第三者がS3バケットを作ってしまうことで、CloudFrontによるコンテンツ配信を悪用される可能性もある旨も言及されています。