Amazon S3バケットのアクセス設定に関する注意喚起メールにつきまして

2017年7月19日前後より、Amazon Web Services(AWS)の一部のお客様に対し、“Securing Amazon S3 Buckets” という件名のメールをご送付させていただきました。Amazon S3 のバケットポリシーやアクセスコントロールリスト(ACL)の設定の不備によって、Amazon S3 上の重要なデータが漏洩するセキュリティリスクに対する注意喚起となります。Amazon S3 のバケットポリシーや ACLの設定について、この注意喚起メールを必要な設定の見直しのきっかけにしていただければと思います。なお、メールを受け取られたお客様に、必ずしも問題があることを示すものではありません。

メールが送られた契機について

重要なデータが漏洩した事例のいくつかを調査した結果、バケット ACL を “All Users” や “All Authenticated AWS Users” に設定されているお客様はセキュリティリスクが高いと判断しています。該当するお客様は、設定の見直しを推奨すべくメールをお送り致しましたので、アクセスが広く許可されていることが本当に正しい状態か、今一度ご確認ください。

設定の見直しについて

どのようにアクセスポリシーを設定すれば良いか、まずはガイドラインをお読みください。また、ホワイトリスト形式で S3バケットをよりセキュアに構築するための記事も公開しています。

アクセスログについて

Amazon S3 ではバケットへのアクセスについて、アクセスログを記録することができます。重要なデータが格納されている場合は、いつ誰にアクセスされたかを追跡可能にするために有効化されることをお勧め致します。また、Amazon S3 は CloudTrail とも統合されておりますので、そちらを有効化されていれば、バケットレベルとオブジェクトレベルのオペレーションに対する詳細な API 記録を確認することもできます。

設定変更後の確認について

ビジネスあるいはエンタープライズレベルのサポートをご契約いただいているお客様には、AWS Trusted Advisor のセキュリティカテゴリにて “Amazon S3バケット許可” という項目を提供しており、以下のような基準に基づいてアラートを通知いたします。今後もバケットのセキュリティを保っていただくために、ぜひ AWS Trusted Advisorをご利用ください。

黄色: すべての人が参照できる設定

赤色: すべての人がアップロードや削除できる設定

AWS Trusted Advisor 画面例

各AWSサービスの機能や設定に関してご不明点がございましたら、フォーラムやAWSサポートまでお問い合わせください。

– AWS Japan Security Awareness チーム