SNS トピックアクセスポリシーにおけるパブリックアクセスの設定について

2025.08.15

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（コンソール、AWS CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、SNS トピックアクセスポリシーはパブリックアクセスを許可しないでくださいについて、リスクと対策を解説します。

ポリシーの説明

Amazon Simple Notification Service (SNS) は、アプリケーション間の通信やユーザーへの通知配信を行うフルマネージドメッセージングサービスです。SNSトピックのアクセスポリシーが適切に設定されていない場合、インターネット全体からアクセス可能となり、重大なセキュリティリスクを引き起こす可能性があります。

本ポリシーは、SNSトピックのアクセスポリシーが不特定多数のユーザーやインターネット全体からのパブリックアクセスを許可していないことを確認します。Principal に “*” が設定され、かつ条件が適切に制限されていない場合、誰でもトピックにアクセスできる状態となります。

パブリックアクセスを許可する一般的なパターン：

Principalが”*”でConditionがない場合
Principalが”*”でConditionが不十分な場合（例：IP制限のみ）
クロスアカウントアクセスでaws:SourceOwnerやaws:SourceAccount条件がない場合

リスク

SNSトピックへのパブリックアクセスを許可することで、以下のような深刻なセキュリティリスクが発生します：

不正なメッセージ発行: 攻撃者が任意のメッセージをトピックに発行でき、購読者に偽の通知や悪意のあるコンテンツを送信できます
機密情報の漏洩: 第三者がトピックを購読することで、本来アクセスすべきでない機密情報を含む通知を受信できます
サービス妨害攻撃（DoS）: 大量のメッセージ送信によりサービスの可用性が低下し、正常な通知配信が妨げられます
予期しないコスト増大: 不正な利用により大量のメッセージが送信され、想定外の高額な利用料金が発生します
フィッシング攻撃: SNSを使用したフィッシングメッセージやスパムの配信に悪用される可能性があります

修復方法

コンソールでの修復手順

AWSのコンソールを使用して、SNSトピックのアクセスポリシーを適切に設定します。

AWS管理コンソールにログインし、SNSサービスページに移動します
左側のナビゲーションパネルから「トピック」を選択します
パブリックアクセスが許可されているトピックを特定し、トピック名をクリックします
「編集」ボタンをクリックし、トピックの設定画面を開きます
「アクセスポリシー」セクションまでスクロールし、現在のポリシーを確認します
ポリシーエディタで、以下の点を修正します：
- Principal が “*” になっている場合、特定のAWSアカウントIDまたはIAMロールのARNに変更
- 条件（Condition）を追加して、アクセス元を制限
修正後のポリシー例： { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictedAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": [ "SNS:Subscribe", "SNS:Publish" ], "Resource": "arn:aws:sns:ap-northeast-1:123456789012:MyTopic", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "IpAddress": { "aws:SourceIp": [ "10.0.0.0/8", "172.16.0.0/12" ] } } } ] }
*「変更の保存」**をクリックして、新しいアクセスポリシーを適用します