IAMは本当に安全？一元管理ツールの脆弱性をプロが徹底評価！

「うちのAWSは、たぶん大丈夫だろう…。」そう思いながら、IAM（アクセス権限管理）の設定を確認しないまま放置していませんか。

IAMは、AWS（Amazon Web Services）を使う企業すべてに関係しますが、定期的に見直しているケースは多くありません。

IAMの設定が今どういう状態か、正直よく分からない…、というのは担当者でなければ普通のこと。設定画面を開いても項目が多く、何をどこから確認すればよいか迷いますよね。

本記事では「そもそもAWS／IAMって何…？」「うちの会社は大丈夫…？」となっている担当者の方に向けわかりやすく解説していきます！

AWS専用無料ソフト「IAM（アイ・エー・エム）」って何？

システムに詳しくない方であれば詳しいセキュリティの前に『そもそもAWS、IAMって何…？』と感じるのではないでしょうか。まずはこれらの用語について簡単に解説します！

①：「AWS（Amazon Web Services）」について

AWSとは「Amazon Web Services（アマゾン・ウェブ・サービス）」の名の通り、Amazonが提供する世界最大規模のクラウドコンピューティングサービスです。

サーバー・データベース・ストレージといったIT設備を、インターネット越しに借りて使える仕組みです。自社でコンピューターを購入・管理しなくても、使った分だけ料金を払って利用できます。

IDC Japanの調査（2024年）によると、日本のクラウドサービス市場でAWSのシェアがもっとも高く、クラウドサービス利用企業の半数以上が使っているとされています。

②：「IAM（Identity and Access Management）」について

IAMとは「Identity and Access Management（アクセス一元管理）」とも呼ばれており、誰が（認証）、どのAWSリソースに対して、“どんな操作ができるか（認可）”を一元管理するためのセキュリティサービスです。IAMは、AWSに無料で初期搭載されています。

社内システムに例えると、どの社員がどのフォルダを開けるかを決める「アクセス権限の管理」に近いイメージですね。たとえば、

• Aさんはファイルを読めるが削除はできない
• Bさんは特定のデータにしかアクセスできない

といった設定を細かく管理できます。

つまりこの設定が甘いまま放置すると、不正アクセスが起きたときに被害が広がったり、退職者のアカウントからシステムにアクセスできたままになる、といった問題が起きます。

【本題】IAMって無料なのに安全なの？

「IAMが無料で使えるなら、そのままにしておいてもいいんじゃないか」そう思いたいところですが、IAMは「使えば安全になる」機能ではありません。

ここでまたひとつ「MFA（エム・エフ・エー）」という言葉を解説できればと思いますが、MFAとは「多要素認証」の略で、IDとパスワードの入力に加えて、別の確認方法を組み合わせるセキュリティ手法です。

近年では例えばX（旧：Twitter）に再ログインする場合、スマートフォンなどでの認証などを要求することがありますよね、これがMFAです。

このMFA未設定は、パスワードが1つ漏れた瞬間にアカウントが乗っ取られる状態を指しています。例えるなら、鍵を1本しか持たず、複製されていても気づかないままの状態と同じです。アクセスキーの放置はさらに根深く、一度流出すると有効期限がないため、何年経っても不正アクセスに使われ続けます。

IAMを利用している企業が確認すべきことは？

その1：必要以上の権限を与えていないか

「権限が広すぎると何が問題なのか」というと、そのアカウントが不正に使われたとき、被害の拡大が早く大きくなってしまう点です。セキュリティの世界には「その業務に必要な最小限の権限だけを与える」という考え方があります。

全フロアに入れる社員証より、必要なフロアだけに入れる社員証のほうがリスクが低い、というイメージです。

特に注意したいのが「AdministratorAccess（AWS上のほぼ全操作を許可する最高権限）」という設定です。

なんとこれが、業務上の必要がないのに複数人に付与されている場合も見られます。

ですから、業務上必要がないアカウントに付与されていれば、権限の見直しを行いましょう。

その2：MFA（多要素認証）はルートと管理者アカウントに設定されているか

パスワードだけでは、漏れた瞬間にアカウントが乗っ取られます。MFAが設定されていれば、パスワードを知られても、手元にある認証用の端末がないとログインできません。

特に重要なのが「ルートユーザー」へのMFA設定です。ルートユーザーとは、先ほどのルートアカウントと同じもので、AWS上のあらゆる操作ができる最高管理者です。このアカウントが侵害されると、他のIAM設定がいくら適切でも意味をなしません。

MFA未設定のルートアカウントがあれば、今すぐ確認が必要です。

その3：アクセスキーへの依存をなくせているか

アクセスキーは一度発行すると有効期限がなく、削除しない限り永続的に使えます。

問題は、「漏れているかどうかが分かりにくい」という点で、設定ファイルの中に埋め込んだまま外部に流出する事故が実際に起きています。

Datadogの調査（2024年）によると、IAMユーザーの半数以上が1年以上有効なアクセスキーを保持しており、放置されたキーが多く残っているのが実態です。

不要なアクセスキーは削除、長期間使っていないキーは見直しの対象です。

その4：古いキーと退職者のキーは残っていないか

「退職した担当者のアカウントはすでに削除した」という場合でも、注意が必要です。

IAMユーザーを「無効化」しただけでは、アクセスキーが残り続けることがあります。

キー自体を削除しない限り、そのキーによるアクセスは有効なままです。

90日以上使われていない認証情報は削除・無効化が推奨されており、業界標準の評価基準にも定められた指標です。

退職者のキーや長期間使われていないキーは、定期的に洗い出して削除する必要があります。

その5：「使われていない権限」が残っていないか

先ほどの「古いキー」の延長ではありますが、「そもそも誰も使っていないのに削除されていないアカウントや権限」は、攻撃者にとって格好の侵入経路です。

正規のアカウントとして存在するため、使われても気づくまでに時間がかかります。

使われていない権限は定期的に棚卸しして、不要なものは削除するのが基本的な対策です。

IAMだけでは万全じゃない！
脆弱性は「専門家による診断」が必要！

コンソールでは気づけない設定の組み合わせリスクを、専門家はどう見つけるのか

先ほどお伝えした通り、個々の設定は問題なく見えても、組み合わせによって意図しない権限が生まれていることがあります。こうした問題は、自己確認ではなかなか見つかりません。

だからこそ、専門家レビューで、IAM設定だけでなく、ネットワーク・暗号化・操作ログの状態なども含めて一括で確認する必要があるんです。

まとめ：「大手システムだから大丈夫」ではなく、一度専門家の脆弱性診断を！

本記事でも紹介したように、IAMは非常に有名な大手システムな反面、1つの設定ミスから脆弱性が生まれてしまいます。

当社IFTの脆弱性診断では、このようなシステムの抜け穴を確認するのはもちろん、ホワイトハッカーは実際に起きた被害事例をもとにハッキングテスト（実際に攻撃）を行う『ペネトレーションテスト』も実施可能です。

またテスト後の報告はもちろん、「どこを／どう直せばいいか？」というレポートもお出ししておりますので、システム担当者にレポートを共有するだけでOK。

“もしも”への備えとして、定期的な確認を推奨しています。セキュリティに関するどんな些細な質問でも構いませんので、ぜひ一度ご相談くださいませ。