AWSアカウント作成後に必ずやるべきセキュリティ設定5選

はじめに

AWSアカウントを放置するリスク

AWSアカウントを作成したまま放置していませんか？

実はこれ、非常に危険な状態です。放置されたAWSアカウントは不正アクセスの標的になりやすく、気づかないうちに高額な請求が発生するケースが後を絶ちません。

具体的なリスクはこちらです。

不正アクセスによる高額請求：攻撃者にアカウントを乗っ取られ、仮想通貨のマイニングに悪用されて数十万円の請求が来たケースが実際に報告されています
個人情報の漏洩：S3バケットに保存したファイルが外部に公開される
リソースの無断利用：知らない間にEC2インスタンスが大量に起動される

自分の実体験

以前AWSアカウントを作成したものの、そのまま数ヶ月放置していました。

久しぶりにログインしてみると、ルートアカウントにMFAが未設定、IAMユーザーも未作成という状態でした。仕事でAWSを使っているにも関わらず、自分のアカウントはノーガードだったことに気づき、すぐに設定を見直しました。

気づいた問題点：

ルートアカウントのMFAが未設定
IAMユーザーが未作成
アクセスキーの確認すらしていなかった
請求アラートも未設定

みなさんの中にも同じような状況の方がいるのではないでしょうか。

この記事でできること

この記事では以下の5つのセキュリティ設定を解説します。

ルートアカウントへのMFA設定
IAMユーザーの作成
ルートアクセスキーの削除
請求アラートの設定
不要なリソースの確認・削除

所要時間は約30分です。AWSを使い始めた方はぜひ今すぐ設定しておきましょう。

設定1：ルートアカウントにMFAを設定する

MFAとは何か

MFA（Multi-Factor Authentication）とは多要素認証のことです。

通常のログインはIDとパスワードの2つで認証しますが、MFAを設定するとさらにスマートフォンで生成したワンタイムパスワードが必要になります。

通常のログイン：ID + パスワード

MFA設定後　　：ID + パスワード + ワンタイムパスワード

つまりパスワードが流出しても、スマートフォンがなければログインできない状態になります。

なぜ必要なのか

ルートアカウントはAWSの全権限を持つ最も重要なアカウントです。

ルートアカウントでできることの例：

すべてのリソースの作成・削除
IAMユーザーの管理
請求情報の確認・変更
アカウントの解約

もしルートアカウントに不正アクセスされるとアカウント全体が乗っ取られます。 MFAはこれを防ぐ最も重要な設定です。

設定手順

ステップ1：Google Authenticatorをインストールする

まずスマートフォンに認証アプリをインストールします。

iPhone：App Storeで「Google Authenticator」を検索
Android：Google Playで「Google Authenticator」を検索

ステップ2：MFA設定画面を開く

AWSコンソール右上

→ アカウント名をクリック

→「セキュリティ認証情報」を選択

→「多要素認証（MFA）」

→「MFAデバイスを割り当てる」をクリック

ステップ3：デバイスタイプを選択する

「認証アプリケーション」を選択

→「次へ」をクリック

ステップ4：QRコードを読み取る

表示されたQRコードを

Google AuthenticatorでスキャンするQRコードを読み取ると

6桁のワンタイムパスワードが表示される

ステップ5：ワンタイムパスワードを入力する

「MFAコード1」→ 表示された6桁を入力

数秒待つ

「MFAコード2」→ 次に表示された6桁を入力

→「MFAを追加」をクリック

⚠️ スマートフォンを紛失するとログインできなくなります。バックアップコードは必ず保存しておきましょう。

設定2：IAMユーザーを作成する

ルートアカウントを使い続けるリスク

AWSのベストプラクティスではルートアカウントの日常使いは厳禁とされています。

理由は以下の通りです。

ルートアカウントは全権限を持つため誤操作のリスクが高い
操作ログの管理が難しい
複数人で使う場合にアカウントを共有することになる

日常の作業はIAMユーザーで行い、ルートアカウントは緊急時のみ使用するのが正しい運用です。

IAMユーザーとは

IAM（Identity and Access Management）は、AWSのアクセス管理サービスです。

IAMユーザーを使うメリット：

必要な権限だけを付与できる（最小権限の原則）
操作ログを個人単位で管理できる
アクセスキーを安全に管理できる

設定手順

ステップ1：IAMを開く

AWSコンソール → IAM

→「ユーザー」→「ユーザーの作成」をクリック

ステップ2：ユーザー情報を入力する

ユーザー名：任意（例：admin-user）

「AWSマネジメントコンソールへのアクセスを提供する」

→ チェックを入れる

パスワード：強いパスワードを設定する

ステップ3：権限を設定する

「ポリシーを直接アタッチする」を選択

→「AdministratorAccess」を選択

→「次へ」をクリック

設定内容を確認して「ユーザーの作成」をクリック

ステップ4：IAMユーザーにもMFAを設定する

作成したIAMユーザーを選択

→「セキュリティ認証情報」タブ

→「MFAデバイスの割り当て」

→ ルートアカウントと同じ手順で設定する

ステップ5：IAMユーザーでログインする

ログインURL：

https://<

アカウントID>.signin.aws.amazon.com/console

→ 作成したIAMユーザー名とパスワードでログイン

→ 以降の作業はIAMユーザーで行う

設定3：ルートのアクセスキーを削除する

アクセスキー流出のリスク

アクセスキーはAWS APIを操作するための認証情報です。

流出すると以下のリスクがあります。

EC2インスタンスを大量に起動される
S3のデータを盗まれる
仮想通貨マイニングに悪用される
数十万〜数百万円の請求が発生する

特にGitHubなどにコードを公開する際にアクセスキーを誤ってコミットしてしまうケースが多く報告されています。ルートアカウントのアクセスキーは存在自体がリスクのため必ず削除しましょう。

確認・削除手順

ステップ1：アクセスキーを確認する

AWSコンソール右上

→ アカウント名をクリック

→「セキュリティ認証情報」

→「アクセスキー」の項目を確認

ステップ2：アクセスキーを削除する

アクセスキーが存在する場合

→「削除」をクリック

→ 確認ダイアログで「削除」をクリック

アクセスキーが存在しない場合は何もしなくてOKです。

⚠️ 削除したアクセスキーは復元できません。使用中のアクセスキーがある場合は事前に確認しましょう。

設定4：請求アラートを設定する

不正利用を早期発見する重要性

セキュリティ設定をしっかり行っても、万が一不正利用された場合に早期発見できる仕組みが必要です。

請求アラートを設定しておくと：

想定外の料金が発生した時にメールで通知される
不正利用を早期に発見できる
設定ミスによる意図しない課金を防げる

Budgetsの設定手順

ステップ1：Budgetsを開く

AWSコンソール

→ Billing and Cost Management

→ 左メニュー「予算と計画」

→「予算」をクリック

ステップ2：予算タイプを選択する

「テンプレートを使用（シンプル）」を選択

→「月次コスト予算」を選択

ステップ3：予算額を設定する

予算名：monthly-budget（任意）

予算額($)を入力してください：$7（約1,000円）

Eメールの受信者：通知を受け取るメールアドレス

→「予算を作成」をクリック

⚠️ AWSの請求はドル建てです。1,000円の場合は為替レートを考慮して$7程度に設定しましょう。

設定5：不要なリソースを確認・削除する

放置リソースのリスク

AWSは使った分だけ課金される従量課金制です。

使っていないリソースが残っていると：

知らない間に課金され続ける
セキュリティの穴になる可能性がある
管理が煩雑になる

確認すべきリソース一覧

以下のリソースを順番に確認しましょう。

EC2関連

AWSコンソール → EC2

→ 見知らぬインスタンスが起動していないか確認

→ 不要なElastic IPが残っていないか確認

　（停止中でも課金されます）

S3関連

AWSコンソール → S3

→ 見知らぬバケットがないか確認

→ 不要なバケットは削除する

RDS関連

AWSコンソール → RDS

→ 不要なデータベースが起動していないか確認

→ RDSは料金が高いため特に注意

Lambda関連

AWSコンソール → Lambda

→ 見知らぬ関数がないか確認

⚠️ 見知らぬリソースが存在する場合は不正アクセスの可能性があります。すぐに停止・削除してAWSサポートに連絡しましょう。

まとめ

今回紹介した5つのセキュリティ設定をおさらいします。

設定	重要度	所要時間
ルートアカウントのMFA設定	⭐⭐⭐	約5分
IAMユーザーの作成	⭐⭐⭐	約10分
アクセスキーの削除	⭐⭐⭐	約2分
請求アラートの設定	⭐⭐	約5分
不要リソースの確認	⭐⭐	約10分