AWS多要素認証（MFA）を必須に

AWSもMFA必須化

Amazon Web Services（AWS）は、AWS Organizations管理アカウントのルートユーザーでマネジメントコンソールにサインインする場合、多要素認証（Multi-Factor Authentication：MFA）を2024年半ばから必須化する方針を示しています。セキュリティを強化するのが狙いで、AWS Organizations組織外のスタンドアロンアカウントなどの顧客に対しても、2024年中に同様の対応を行う予定です。

2024年半ばの必須化待たずに、すでにMFA設定の動きも

近年のWebサービスでは、セキュリティを向上させるために、MFAを導入するケースが増えています。AWSでは、MFAを設定してAWSリソースを保護することを推奨しており、中でも、フィッシングに対する耐性の強いセキュリティ方式を中心としたMFAを進めています。

MFAに関しては、従来のスマートフォンなどの認証アプリケーションを使用した多要素認証方式や、USB接続で認証できるセキュリティキーなどのデバイスを使うことも可能です。2024年を待つことなく、できるだけ早くMFAを設定することが求められており、すでにMFAを搭載する動きも加速しています。

AWSでは、多要素認証が必要となる顧客に対して、コンソールにサインインしたときのプロンプトなど、複数の手段により今後の変更が通知されます。スタンドアロンアカウントなどの顧客に対しても、多要素認証の大規模な導入と管理をさらに簡単にする機能を提供する予定です。

「Google Authenticator」を使う場合

多要素認証用のトークンソフト「Google Authenticator」をスマートフォンにインストールし、ルートユーザーでAWSマネジメントコンソールにサインインするケースで、その手順を見てみましょう。

画面右上のアカウント名またはアカウント番号を選択し、「マイセキュリティ資格情報」をクリックします。MFAセクションを開き、「MFAの有効化」をクリックします。「MFA デバイス」を選択し、続行をクリックします。「QRコードを表示する」リンクをクリックし、表示されたQRコードを「Google Authenticator」で読み取ります。

「Google Authenticator」で生成された数字をMFAコード1に入力します。「Google Authenticator」は30秒ごとに数字を生成するので、30秒待って新しく生成された数字をMFAコード2に入力します。2つのMFAコードを入力したら「MFA割り当て」をクリックします。「MFAが正常に割り当てられました」と表示されれば、MFA有効化は完了です。

ルートユーザー、IAMユーザーがIMFを使用することが可能

AWS Identity and Access Management(IAM)は、AWSのリソースへのアクセスを安全に管理するためのWebサービスです。IAMを利用すると、ユーザーがアクセスできるAWSのリソースを制御するアクセス許可を集中管理できるほか、誰を認証（サインイン）し、誰にリソースの使用を承認（アクセス許可を持たせる）するのかを制御します。

AWSアカウントを作成する場合は、このアカウントのすべてのAWSサービスとリソースに対して完全なアクセス権を持つ１つのサインインアイデンティティから始めます。このIDはAWSアカウントルートユーザーと呼ばれます。

AWSアカウントのルートユーザーは、AWSアカウントを作成した時に用意した電子メールアドレスとパスワードを使用してサインインできるアカウントなので、AWSは、日常的なタスクにはルートユーザーを使用しないことを勧めています。また、ルートユーザーは、請求情報など支払いに関連したものを含めた、AWSすべてのサービスとリソースに対して無制限にアクセス可能で、解約などの契約変更も実行可能です。

AWSのセキュリティを向上させるためには、MFAを設定して、AWSリソースを保護します。そして、AWSアカウントのルートユーザーおよびIAMユーザーは、MFAを使用することができます。ルートユーザーのMFAを有効化すると、ルートユーザーの認証情報のみが影響を受けます。アカウントのIAMユーザーは固有の認証情報を持つ独立したIDで、それぞれに固有のMFAの設定があります。

セキュリティキーの活用も

MFAのメリットは、パスワード認証の場合よりもセキュリティを向上させることができることです。パスワードだけの場合、どれだけ複雑なパスワードを設定したとしても漏洩してしまえば「なりすまし」のリスクが高まります。

MFAは、悪意のあるユーザーからの攻撃によって、ひとつの認証手段が破られたとしても、他の認証手段によってデータを守ることが可能です。「ID」「パスワード」などユーザーのみが知る「知識情報」による認証、利用者が持つ端末やICカードなどを活用し、ワンタイムパスワードやデジタル証明書を発行するなど「所持情報」による認証、指紋認証や顔認証などによる「生体情報」による認証を組み合わせるためです。

MFAデバイスの種類は、スマートフォンなどにインストールして使うアプリケーションである仮想デバイスのほか、コンピュータのUSBポートに専用端末を接続するU2Fセキュリティキーなどがあります。


■ FIDOセキリティキー



＊「Google」「Google Authenticator」は Google LLCの登録商標または商標です。
＊＊「Amazon Web Services」「AWS」はAmazon.com, Inc.またはその関連会社の商標です。

関連記事

●ChatGPTに多要素認証（MFA）を導入

●多要素認証（MFA）にはクラウドで

●Microsoft Office 365の多要素認証（MFA）について

●Authenticatorアプリの代替機を使った多要素認証（MFA）

●Salesforceの多要素認証（MFA）の設定方法

●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて

●コピープロテクトに最適なUSBドングル

●PCI DSS v4.0への更新で重要性増す多要素認証（MFA）

●Microsoft Entra ID – Azure ADから名称変更

●情報セキュリティが脆弱に！BYODのデメリットとは