AWS Session Manager セキュリティコントロール強化ガイド

🤔 Session Managerって何？

📝 簡単に言うと...

従来の SSH接続 （物理的な鍵）の代わりに、
AWS経由 で安全にサーバーにアクセスできる 最新セキュリティシステム です

🗝️ 従来のSSHアクセス

🚪

物理的な鍵を配布

高リスク

鍵を紛失するリスク
誰が入ったか分からない
鍵の管理が大変
退職者の鍵回収漏れ

🏢 Session Manager

🛡️

ICカード + 生体認証システム

低リスク

カードは遠隔で無効化可能
すべての入退室を記録
権限の細かい制御
自動的なアクセス管理

VS

🏢 6層セキュリティシステムの仕組み

高セキュリティオフィスビルのような多層防御でサーバーを守ります

🏃‍♂️

第1層: 身元確認

IAM認証

建物に入る前に、まず受付で身分証明書をチェック

💳

第2層: ICカード

MFAトークン

有効なICカードを持っている人のみ通過可能

👆

第3層: 生体認証

追加認証

指紋や顔認識で本人確認を再度実施

📹

第4層: 監視カメラ

CloudTrail監査

すべての入退室を記録・監視

🏠

第5層: 専用通路

VPC Endpoints

外部を通らない安全な内部通路を使用

🔐

第6層: 金庫室

KMS暗号化

重要データは暗号化された金庫に保管

🚶‍♂️ アクセスの流れを見てみよう

🔄 セキュア入館プロセス

1

🧑‍💼

社員が入館を希望

AWS CLIまたはコンソールから接続要求
aws ssm start-session --target i-1234567890abcdef0

⬇️

2

🪪

受付で身分証確認

IAMユーザー/ロールの権限をチェック
必要な権限: ssm:StartSession

⬇️

3

💳

ICカード認証

MFA（多要素認証）によるセキュリティトークン確認
例: Google Authenticator, YubiKey

⬇️

4

🚪

セキュリティゲート通過

Systems Manager Agentが安全な接続を確立
特徴: SSH鍵不要、ポート開放不要

⬇️

5

📹

監視カメラ記録開始

セッションログの記録開始（CloudWatch Logs / S3）
記録内容: 実行コマンド、操作時間、ユーザー

⬇️

6

💻

サーバーアクセス開始

暗号化された安全な通信でサーバー操作が可能
状態: 完全に監査可能で安全な接続

🛡️ セキュリティ強化のベストプラクティス

👥

最小権限の原則

必要最小限の権限のみ付与

🏢 オフィスの例:
・経理部員 → 経理フロアのみ
・システム部員 → サーバー室のみ
・役員 → 役員フロアのみ

📱

多要素認証（MFA）必須

ICカード + 生体認証の2段階

🔐 実装方法:
・IAMでMFA必須に設定
・スマホアプリやハードウェアトークン
・条件付きアクセス制御

📊

すべての活動を記録

入退室ログ + 防犯カメラ

📹 記録内容:
・接続時刻と継続時間
・実行したコマンド
・ファイルの変更履歴

🌐

ネットワーク分離

外部を通らない専用通路

🛤️ VPC Endpoints:
・インターネット経由なし
・AWS内部ネットワークのみ
・外部からの攻撃を遮断

⏰

時間制限とアクセス制御

営業時間外は自動ロック

⏳ 制限内容:
・セッション時間の上限設定
・業務時間外のアクセス制限
・アイドル時の自動切断

🔐

データ暗号化

金庫室レベルのセキュリティ

🛡️ 暗号化対象:
・セッション通信内容
・ログファイルの保存
・KMSによる鍵管理

⚙️ 実際の設定例

🏢 IAMポリシー設定

どのフロアにアクセスできるかを定義

       {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession"
      ],
      "Resource": [
        "arn:aws:ec2:region:account:instance/i-1234567890abcdef0"
      ],
      "Condition": {
        "Bool": {
          "aws:MultiFactorAuthPresent": "true"
        },
        "DateGreaterThan": {
          "aws:CurrentTime": "09:00Z"
        },
        "DateLessThan": {
          "aws:CurrentTime": "18:00Z"
        }
      }
    }
  ]
}
      

📹 セッション記録設定

防犯カメラとログ記録の設定

       {
  "sessionType": "Standard_Stream",
  "inputs": {
    "s3BucketName": "session-logs-bucket",
    "s3KeyPrefix": "session-logs/",
    "s3EncryptionEnabled": true,
    "cloudWatchLogGroupName": "session-manager-logs",
    "cloudWatchEncryptionEnabled": true,
    "kmsKeyId": "arn:aws:kms:region:account:key/key-id"
  }
}
      

💡 設定のポイント

🔐 MFA必須: "aws:MultiFactorAuthPresent": "true"

⏰ 時間制限: 営業時間（9:00-18:00）のみアクセス可能

📊 ログ記録: S3とCloudWatch Logsに暗号化して保存

🗝️ 暗号化: KMSで通信内容とログを暗号化

📊 セキュリティレベルの比較

🗝️ 従来のSSH接続

セキュリティリスク: 高

❌ SSH鍵の管理が困難
❌ ポート22の開放が必要
❌ 接続ログが不十分
❌ 鍵の紛失・盗難リスク
❌ 退職者の鍵削除漏れ
❌ 踏み台サーバーが必要

😰 よくある問題:
「誰がいつサーバーに入ったか分からない」
「退職した人の鍵を削除し忘れた」

🛡️ Session Manager

セキュリティリスク: 低

✅ SSH鍵不要
✅ ポート開放不要
✅ 完全な操作ログ
✅ AWS IAMで統合管理
✅ 自動的なアクセス制御
✅ VPC Endpoints対応

😊 実現できること:
「誰がいつ何をしたか完全に記録」
「権限は自動で管理・更新」

❓ よくある質問

🤔 Session Managerを使うメリットは？

セキュリティ面:

SSH鍵の管理が不要
すべての操作が記録される
IAMで細かい権限制御
MFAによる多要素認証

運用面:

ポート開放が不要
踏み台サーバーが不要
退職者の権限を自動で無効化
コンプライアンス要件を満たしやすい

💰 コストはどのくらい？

Session Manager自体は無料です！

関連する費用:

CloudWatch Logs: ログ保存料金
S3: セッション記録の保存料金
KMS: 暗号化キーの使用料金
VPC Endpoints: 使用する場合の料金

一般的には月数百円〜数千円程度で済みます。

🔧 導入は難しい？

基本的な導入は簡単です！

必要な手順:

EC2インスタンスにSSM Agentをインストール（Amazon Linux 2は標準搭載）
EC2インスタンスにIAMロールを付与
Session Manager用のIAMポリシーを作成
AWS CLIまたはコンソールから接続

高度な設定（ログ記録、暗号化など） は段階的に導入できます。

🌐 オンプレミスでも使える？

はい、使えます！

Hybrid Activations機能 を使用することで、オンプレミスのサーバーにもSession Managerでアクセスできます。

必要なもの:

インターネット接続（AWSへの通信）
SSM Agentのインストール
Hybrid Activationの設定

これにより、EC2とオンプレミスサーバーを同じ方法で管理できます。

✨ Session Manager導入のメリット

🔐

セキュリティ強化

多層防御による堅牢なアクセス制御と完全な監査ログ

🚀

運用効率化

SSH鍵管理が不要で、権限管理がIAMで一元化

📊

コンプライアンス

すべての操作が記録され、監査要件を満たしやすい

💰

コスト削減

踏み台サーバーが不要で、インフラコストを削減

🎯 まとめ

🏢 Session Manager = 高セキュリティオフィスビルの入館システム

🔐 多層防御 = IAM認証 + MFA + 監査ログ + 暗号化

📹 完全な記録 = いつ、誰が、何をしたかすべて追跡可能

🛡️ ゼロトラスト = 最小権限とアクセス制御の徹底

🎯 セキュリティ強化のポイント:

MFA（多要素認証）を必須に設定
最小権限の原則を徹底
すべてのセッションをログ記録
VPC Endpointsで内部通信に限定
時間やIP制限でアクセスを制御
KMSでデータを暗号化

💡 導入時のアドバイス: 基本機能から開始し、段階的にセキュリティ機能を強化していきましょう！

目次