すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:Bastionhost を使用した MLPS 2.0 要件への対応

最終更新日:Jun 22, 2026

Bastionhost を使用して運用保守の統一エントリポイントを確立し、きめ細かい権限管理を適用し、エンドツーエンドの操作監査を実施します。このアプローチにより、ECS インスタンスを保護し、MLPS 2.0 レベル 3 における ID 認証、アクセス制御、操作監査の中核要件を満たすことができます。

セキュリティリスク

インターネットやオフィスネットワークから SSH または RDP を使用して担当者がサーバーへ直接アクセスするなど、従来の運用保守方法では、制御が困難な複数のリスクが生じます:

  1. ユーザーの特定不能と特権の濫用:root や Administrator などのローカルアカウントや共有サーバーアカウントを使用すると、操作を特定のオペレーターに紐づけて追跡できません。高権限アカウントの認証情報が侵害された場合、攻撃者は無制限にアクセスして悪意のある操作を実行でき、原因者を特定できなくなります。

  2. 運用上の死角:専用の監査ツールがない場合、サーバー上で直接実行された操作は完全には記録されないことが多くあります。セキュリティインシデント発生時に、詳細な操作ログやセッション記録がないと、責任の所在の特定、攻撃経路の分析、被害範囲の評価ができません。

  3. 認証情報管理の混乱と漏洩リスク:数百台、数千台のサーバーを管理するには、オペレーターが多数のパスワードやキーを覚える必要がある場合があります。その結果、脆弱なパスワードや使い回しのパスワードを使用したり、認証情報を安全でない場所に保存したりするなどの不適切な運用につながり、認証情報の漏洩リスクが大幅に増加します。

  4. ラテラルムーブメントの温床:攻撃者がジャンプサーバーまたはオペレーターの PC を侵害し、サーバーへの直接アクセスを得た場合、そのサーバーを足掛かりに内部ネットワーク内でラテラルムーブメントを行い、より重要なシステムを侵害する可能性があります。

  5. 機密データの漏洩:制御されていない運用保守チャネルでは、オペレーターや攻撃者がファイル転送やデータベースエクスポートを通じて機密データを容易にダウンロードでき、データ侵害につながります。

ベストプラクティス

Bastionhost を使用して ECS インスタンスのアセットを一元管理し、セキュリティグループを使用してシステムアクセスを Bastionhost からの接続に限定します。これにより、運用保守アカウントと権限を集中管理し、すべての操作を監査できるようになります。

  1. Bastionhost の計画とデプロイ

    Bastionhost 購入ページに移動し、適切な仕様を選択して、Bastionhost コンソールでインスタンスを有効化します。詳細な手順については、「Bastionhost インスタンスを購入してログオンする」をご参照ください。

  2. デフォルト拒否のネットワークアクセスポリシー

    ネットワークレベルのルールを適用して、すべての運用保守トラフィックを Bastionhost 経由でルーティングします。

    • 専用のセキュリティグループの作成:ECS インスタンス用のセキュリティグループを作成または計画します。デフォルトでは、インバウンドルールで外部からのアクセスをすべて拒否する必要があります。特に SSH (ポート 22) と RDP (ポート 3389) を拒否してください。

    • アクセスを許可する例外ルールの設定:セキュリティグループで、ターゲット ECS インスタンスの運用保守ポート (22 または 3389 など) に対して、Bastionhost のエグレス IP アドレス からのトラフィックのみを許可するインバウンドルールを追加します。

      • ルールの例

        • アクション:許可

        • 優先度:1 (最優先)

        • プロトコル:TCP

        • 送信元:Bastionhost のエグレス IP アドレスを入力します。例: 47.100.XX.XX/32。

        • 宛先:22/22 (SSH) または 3389/3389 (RDP)

      このセキュリティグループは、47.100.XX.XX/32 (Bastionhost のエグレス IP アドレス) のみがグループ内サーバーのポート 22 にアクセスできるようにします。

  3. アセットと ID の集中管理

    • アセットのインポート:Bastionhost コンソールで、ECS インスタンス、データベース、アプリケーションなど、管理対象のアセットをインポートして一元管理できます。

      詳細については、「新しいホストを作成する」をご参照ください。

    • ID ソースの統合

      • Bastionhost にログオンしてアセットを操作するには、Bastionhost ユーザーを作成します。詳細については、「ユーザーの管理」をご参照ください。

      • 既存のID認証システムを持つ企業の場合は、統合ID管理を実現するために、Bastionhost を RAM ユーザーや AD/LDAP などの既存のIDソースと統合するか、Identity as a Service (IDaaS) ソリューションを介して DingTalk や WeCom などのサービスに接続することを推奨します。詳細については、「ID認証のベストプラクティス」をご参照ください。

  4. アクセス制御ポリシーの設定

    • ユーザーと資産の権限付与では、最小権限の原則に従います。各 Bastionhost ユーザーには、必要な資産へのアクセス権のみを付与します。たとえば、開発者は開発環境のサーバーにのみアクセスでき、データベース管理者はデータベースサーバーにのみアクセスできます。詳細については、「ユーザーに資産および資産アカウントの権限を付与する」をご参照ください。

    • きめ細かい制御ポリシーを設定する: Bastionhost の制御ポリシー機能を使用して、よりきめ細かい制御を行います。 特定のユーザーによる高リスクコマンド (rm -rf など) の実行を制限し、ファイル転送のタイプとサイズに制限を設定し、機密性の高い操作に対して 2人による承認を有効にすることができます。 詳細については、「制御ポリシーを設定する」をご参照ください。