MFA（多要素認証）を必ずON
社内アカウントでMFAをまだ設定していない人は、今日中に設定する。スマホ認証アプリかセキュリティキー（FIDO2/YubiKeyなど）の利用を推奨します。

＜補足＞
MFAの押しすぎ対策
通知が多すぎる・身に覚えのない承認要求が来たら承認しないでください。セキュリティキーは誤承認リスクを低減できます。
　
パスワード再利用の禁止
他サービスと同じパスワードはNG。必ず長く・ユニークなパスワードを使います。パスワード管理ツールの利用も効果的です。
　
"怪しい画面"ではコードを入れない
「ログインが切れました」「確認コードを入力してください」などの急かす表示は要注意です。必ずURLが正しいかを確認してください。

管理者が行う"権限のダイエット"4か条

次に、チームリーダーや管理者が行う、権限の見直し「権限のダイエット」のポイントをご紹介します。

最小権限
必要な作業だけができる権限に絞ります（余分は削る）。
　
期限付き昇格（JIT, ジャストインタイム）
一時的に管理者権限を付与し、作業が終わったら自動で戻します。
　
共有アカウント廃止
誰が使ったか分からないアカウントは事故のもとです。個人ID＋承認フローに切り替えます。
　
鍵・トークンの短寿命化
長期のAPIキーや使い回しトークンはやめて、短時間の発行（使い捨て）にします。

＜補足＞
"設定値の初期値のまま"対策
AWSを含む各クラウドは柔軟ですが、既定値が安全とは限りません。社内テンプレートの安全な初期設定（ネットワーク制限／MFA必須／HTTPS必須など）を適用してから運用を開始することが大切です。

AWSでの設定例

次に、ここまで見てきた「権限のダイエット」をAmazon Web Services (AWS)環境で実施する場合の具体的な設定内容について見ていきます。

設定の概要

以下の設定をAWSで簡単に実現します。

「管理者操作はMFA必須＋社内からのみ」
「管理者は必要時のみ一時付与
「古いアクセスキーを排除」

(1)管理者ロールはMFAが有効な人だけが使えるようにする

行うこと
管理者ロール（例：AdminRole）の信頼ポリシーに「MFAが有効なときだけAssumeRoleできる」条件を入れます。
　
ポイント
ウイルスでも人でも、「MFAなしでは管理者になれない」状態にします。
　
運用のコツ
IAM Identity Center（旧AWS SSO）を使っている場合も、IdP側でMFA必須にし、管理者用のPermission Setはセッション1時間など短めに設定します。

MFA を使用した安全な API アクセス - AWS Identity and Access ManagementMFA を使用した安全な API アクセス - AWS Identity and Access Management

ユーザーが AWS サービスをプログラムから呼び出す前に MFA を使用して認証するように、IAM を設定します。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html

(2)場所の制限をかける（社内ネットワークからのみ管理者操作）

行うこと
管理者ロールのアイデンティティベースポリシーで、Denyを条件ごとに分けて記述します。
- 社内IPレンジ以外はDeny
- MFAが有効でない操作はDeny
- HTTPS（aws:SecureTransport）でない通信はDeny
  　
効果
いずれかの条件を満たしていない操作を確実に拒否でき、設定の抜けによる誤許可を防げます。
　
補足
IAM Identity Center利用時も、IdP側でMFA必須にして整合を取りましょう。既存の許可ポリシーにAllowがあっても、設定したDenyが優先されます。
　
運用のポイント
APIや管理コンソールの利用がプロキシ／VPN経由の場合は、出口IPも許可対象に含めます。設定の変更時は申請・記録のうえ、社内テンプレートへ反映してください。

ポリシーを使用して AWS リソースへのアクセスを制御します。 - AWS Identity and Access Managementポリシーを使用して AWS リソースへのアクセスを制御します。 - AWS Identity and Access Management

AWS Identity and Access Management またはすべての AWS 内のリソースに対するアクセスを制御する方法を説明します。https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_controlling.html

(3)期限付き昇格（JIT）で「必要なときだけ管理者」

行うこと
普段は一般ロールのみ。申請→承認で管理者ロールを1時間だけ付与する運用に。
　
方法例
- Identity CenterのPermission SetでSession Duration＝1hに設定。
- 承認済み申請からのみ管理者ロールに切り替え可能（社内ツールと連携）。
メリット
事故の爆発半径が小さくなります／操作の監査履歴が明確になります。

AWS アカウントのセッション期間を設定する - AWS IAM アイデンティティセンターAWS アカウントのセッション期間を設定する - AWS IAM アイデンティティセンター

権限セット毎に、ユーザーが AWS アカウントアカウントにサインインできる期間を制御するためのセッション期間を指定できます。指定された期間が経過すると、はセッションからユーザー AWS に署名します。https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/howtosessionduration.html#:~:text=%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E6%99%82%E9%96%93%E3%81%AF%E3%80%81%E6%9C%80%E7%9F%AD%E3%81%A7,%E3%81%AB%E6%A7%8B%E6%88%90%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%81%BE%E3%81%99%E3%80%82

(4)古いアクセスキーの一掃（90日以上は原則廃止）

行うこと
IAMのCredential Reportを出し、90日超のアクセスキーをリスト化→削除／再発行。
　
運用ルール
- サーバやCIからAWSを呼ぶときは長期キーではなくロール（AssumeRole）に統一。
- Secrets ManagerでAPIキーを自動ローテーション（可能なもの）に。

AWS アカウントの認証情報レポートを生成します。 - AWS Identity and Access ManagementAWS アカウントの認証情報レポートを生成します。 - AWS Identity and Access Management

IAM 認証情報レポートを使用して、パスワード、アクセスキー、多要素認証 (MFA) デバイスなど、すべてのユーザー認証情報のステータスを表示します。https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_getting-report.html

(5)"最小権限"のテンプレを使う

行うこと
S3なら「読み取りだけ」、Lambdaなら「実行だけ」といった用途別の最小権限ポリシーを社内で用意し、管理者がテンプレから選ぶだけにします。
　
効果
配布ミスや「とりあえずフル権限」の事故を防げます。

https://aws.amazon.com/jp/blogs/news/strategies-for-achieving-least-privilege-at-scale-part-1/

https://aws.amazon.com/jp/blogs/news/strategies-for-achieving-least-privilege-at-scale-part-2/

まとめ

今年の安全性は、"権限の体重"を落とせるかで決まります。まず今日、権限のダイエットを1本やり切る。それが"攻撃面を小さくする"一歩です。今年のサイバーハイジーンは、年始の"小さな実行"から始まります。ぜひ、このような年始や年度初めなどの機会に、一度見直してみてはいかがでしょうか？

https://kyrios.jtp.co.jp/blog/2025-12-11

Kyrios Blog

「ID」が守りの要 ―"アクセス権限のダイエット"から始める年始・年度はじめ

なぜ「ID」が戦場なのか

まずは全社員が行う"今日の3つ"

管理者が行う"権限のダイエット"4か条