カテゴリ: AWS IAM 更新日: 2026/01/13

IAM Access Analyzerとは?未使用権限の分析と外部アクセス検出を初心者向けに徹底解説!

325
IAM Access Analyzerとは?未使用権限の分析・外部アクセス検出を徹底解説
先生と生徒の会話形式で理解しよう

生徒

「先生、IAM Access Analyzerって何に使うんですか?なんか難しそうな名前なんですけど…」

先生

「IAM Access Analyzerは、AWSで不要なアクセス権限や外部アクセスのリスクを見つけるための便利な分析ツールなんです。」

生徒

「それってセキュリティに関係あるってことですか?」

先生

「その通り。とくに未使用のIAM権限や、外部からアクセスできてしまう設定が無いかをチェックして、安心できるAWS環境を作るために役立つんですよ。」

1. IAM Access Analyzerとは?基本の概要

1. IAM Access Analyzerとは?基本の概要
1. IAM Access Analyzerとは?基本の概要

AWSのIAM Access Analyzer(アイエーエム・アクセスアナライザー)は、AWSアカウント内のリソースに対して、誰がどこまでアクセスできるかを分析し、不必要なアクセス権限や外部からのアクセスリスクを検出するサービスです。

特に以下の2つの機能で使われます:

  • 未使用のIAM権限の検出
  • 外部公開されているリソースの可視化

IAM Access Analyzerは、AWSのセキュリティベストプラクティスを守るために欠かせない存在となっています。

2. 外部アクセスの検出機能を理解しよう

2. 外部アクセスの検出機能を理解しよう
2. 外部アクセスの検出機能を理解しよう

IAM Access Analyzerは、S3バケットやIAMロールなどが、他のAWSアカウントやパブリックアクセスに対して許可を持っていないかを検出してくれます。

たとえば、S3バケットが「*」(全員)に対して読み取り許可を持っていた場合、外部公開されているリスクがあると判断されます。

これにより、「知らない間に全世界にファイルが公開されていた…」という事態を防ぐことができます。

3. 未使用のIAM権限を分析する機能

3. 未使用のIAM権限を分析する機能
3. 未使用のIAM権限を分析する機能

IAMユーザーやロールには、必要以上のアクセス権限が与えられてしまうことがよくあります。

IAM Access Analyzerでは、過去90日間に実際に使用された権限をログから分析し、使用されていない権限を洗い出してくれます。

この機能を使えば、最小権限の原則(必要な分だけ権限を与える)を実現しやすくなり、セキュリティリスクを最小限に抑えることができます。

4. IAM Access Analyzerの設定方法

4. IAM Access Analyzerの設定方法
4. IAM Access Analyzerの設定方法

IAM Access Analyzerの使い方はとても簡単です。以下の手順で有効化できます。

  1. AWSマネジメントコンソールにログイン
  2. 「IAM」サービスを開く
  3. 左メニューから「Access Analyzer」を選択
  4. 「アナライザーの作成」をクリック
  5. アナライザー名を入力し、アカウントまたは組織単位を選択
  6. 作成をクリックすれば完了

アナライザーを有効にすることで、外部アクセスの分析結果が自動で生成されるようになります。

5. 実際の分析結果の見方と対応方法

5. 実際の分析結果の見方と対応方法
5. 実際の分析結果の見方と対応方法

Access Analyzerは、検出された外部アクセスや未使用権限を「分析結果」として一覧で表示してくれます。

各分析結果には以下のような情報が含まれます:

  • リソースの種類(S3、KMS、IAMロールなど)
  • 外部アクセスの詳細(誰がどの操作をできるか)
  • アクセスのソース(他アカウント、AWSサービスなど)

「許可の確認」や「ポリシーの編集」ボタンを使って、すぐに対応できるUIになっているので、初心者でも扱いやすいのが特長です。

6. IAM Access Analyzerでの未使用権限レポートの作成

6. IAM Access Analyzerでの未使用権限レポートの作成
6. IAM Access Analyzerでの未使用権限レポートの作成

未使用権限を分析するには、IAMロールやユーザーの「アクセス権限レポート」から確認します。

このレポートでは、各アクションに対して「使用済み」または「未使用」のステータスが表示されます。

ポリシーの見直し時に非常に役立ちます。

7. AWS CLIでIAM Access Analyzerを使う

7. AWS CLIでIAM Access Analyzerを使う
7. AWS CLIでIAM Access Analyzerを使う

IAM Access Analyzerは、AWS CLIでも操作可能です。以下のコマンドでアナライザーを作成できます:


aws accessanalyzer create-analyzer \
  --analyzer-name my-analyzer \
  --type ACCOUNT

分析結果を確認するには、次のようにします:


aws accessanalyzer list-findings \
  --analyzer-name my-analyzer

CLIからの操作を覚えておくと、スクリプトによる自動化や運用にも便利です。

8. IAM Access Analyzerが活躍するユースケース

8. IAM Access Analyzerが活躍するユースケース
8. IAM Access Analyzerが活躍するユースケース

IAM Access Analyzerは、以下のようなシーンで大活躍します:

  • セキュリティ監査時:外部公開リソースをリストアップ
  • ポリシーの見直し時:未使用の権限を削除する判断材料
  • 開発者がIAM設定する前:誰に何を許可すべきか明確にする
  • マルチアカウント環境:組織レベルでのアクセス統制

AWSを安全に使い続けるには、定期的にAccess Analyzerを活用し、見えないリスクを可視化することが重要です。

関連記事

IAM Identity CenterでのログインとCLI設定方法まとめ | AWS IAM
IAM Identity Centerの許可セットとポリシーの関係を解説 | AWS IAM
IAMロールとは?ユーザーとの違い・使い分けを図解で解説 | AWS IAM
IAMロールの作成・設定手順と付与できる権限一覧 | AWS IAM
IAM Identity Center(旧SSO)とは?用途・違い・導入手順を解説 | AWS IAM
IAM Identity Centerの料金・SSO対応・Entra ID連携を詳しく解説 | AWS IAM
IAM Identity CenterとIAMの違いとは?どちらを使うべきか解説 | AWS IAM
IAMポリシーでできること・アクション一覧・条件の書き方まとめ | AWS IAM
AWS IAMの一覧へ
新着記事
IAM Access Analyzerとは?未使用権限の分析・外部アクセス検出を徹底解説
IAM Access Analyzerとは?未使用権限の分析と外部アクセス検出を初心者向けに徹底解説!
IAM Identity CenterでのログインとCLI設定方法まとめ
IAM Identity CenterでのログインとCLI設定方法まとめ!初心者でもすぐに使える手順を完全解説
IAM Identity Centerの許可セットとポリシーの関係を解説
IAM Identity Centerの許可セットとポリシーの関係を初心者向けにわかりやすく解説!
Java の正規表現で「数字」や「英字」だけをチェックする方法
Javaの正規表現で「数字」や「英字」だけをチェックする方法を初心者向けに完全解説
人気記事
インスタンスタイプの料金比較と最適な選び方(最新2025年版)
AWSのインスタンスタイプの料金比較と最適な選び方【2025年最新版】
【AWS】VPCの料金体系まとめ!無料枠・通信費・各種サービスごとの料金を徹底解説
【AWS】VPCの料金体系まとめ!無料枠・通信費・各種サービスごとの料金を徹底解説
【AWS】VPCエンドポイントとは?種類・使い方・S3連携まで完全解説
【AWS】VPCエンドポイントとは?種類・使い方・S3連携まで完全解説
【AWS】s3 cpコマンド完全ガイド!基本・recursive・exclude/includeも解説
【AWS】s3 cpコマンド完全ガイド!基本・recursive・exclude/includeも解説