AWSはAmazon Web Servicesの頭文字を取った略称で、米国の大手IT企業のAmazonが提供している100以上のクラウドコンピューティングサービスです。ID・パスワードに頼った認証が不正アクセスのリスクにさらされている中、セキュリティを強化するために最近は端末へのログインやWebサービスに多要素認証(Multi-Factor Authentication、MFA)を導入するケースが増えており、AWSでもMFAを設定して、AWSのリソースを保護することを推奨しています。
MFAの認証手段には「知識情報」「所持情報」「生体情報」の3パターンによる方式があります。「知識情報」による認証は、「ID」と「パスワード」による認証や「暗証番号」など、ユーザーだけが知り得る情報により本人認証を行います。また、「所持情報」は、利用者が持つデバイスやICカード等を活用し、ワンタイムパスワードやデジタル証明書といった手段で認証を行います。「生体情報」は、ユーザー自身の身体的特徴を活用する認証のことで、指紋や顔認証などを利用して本人認証を行います。
MFAはスマートフォンやパソコンのログイン認証や、Webサービスの本人認証などについても活用が広がっています。AWSのようなクラウドコンピューティングは、インターネットを介してサーバー・ストレージ・データベース・ソフトウェアといったコンピュータを使った様々なサービスを利用します。このため、クラウドサービスであるAWSのセキュリティを向上させるには、多要素認証(MFA)を設定して AWS のリソースを保護することが求められています。
「所持情報」でAWSのMFAを行う場合、必要となるデバイスとして、仮想MFAデバイスとハードウェアデバイス、U2Fセキュリティキーなどがあります。仮想MFAデバイスは、主にスマートフォンなどにインストールして利用するアプリケーションのことを指します。「Google Authenticator」などが知られていて、自分のスマートフォンにアプリをダウンロードして利用します。
ハードウェア MFA デバイスとU2Fセキュリティキーは、いずれもユーザーが購入する物理デバイスです。ハードウェア MFA デバイスは表示するコードを生成し、AWSに署名するときにプロンプトが表示され、入力します。一方、U2FセキュリティキーはUSB接続で認証できるデバイスのことを指します。コンピュータのUSBポートに専用デバイスを接続することで、本人認証が行われます。AWSでは「FIDO セキュリティキー」を使用しています。FIDO セキュリティキーはユーザーに表示することなくレスポンスを生成し、サービスはそのレスポンスを検証します。
FIDOアライアンスにはGoogle、Microsoft、Yahoo、LINEといったIT業界をリードする企業が名を連ね、その加盟企業数は年々増加し続けています。FIDOは、サーバから認証を切り離し、ユーザーの手元に置く「認証器」と名付けたデバイスで認証する仕組みです。認証器を使うことで、サーバがパスワードを管理する必要がなくなり、パスワードに頼らず複数のサーバにアクセスできるようになり、ユーザーが複数のパスワードを覚える必要もなくなるメリットがあります。またネットワークに認証情報を流さずサーバにも保管しないので、パスワードが漏洩するリスクも無くなります。
FIDOは認証器での認証そのものを規定しているわけではなく、ユーザーの手元で行われたた認証とサーバをどのように連携させるのかを規定しています。つまり、本人確認とサーバ認証を分けており、本人認証情報が格納されているのは、セキュリティキーやスマートフォンなどのデバイスの中です。セキュリティキーで認証を行うと、PKI(公開鍵基盤)により秘密鍵で暗号化した署名をサーバに送信し、公開鍵で署名を検証することで認証される仕組みになっています。
・AWSのMFAに利用可能なFIDOセキュリティキー
「知識情報」「所持情報」「生体情報」でセキュリティを強化
MFAは、従来からあるログインIDとパスワードでの認証だけに頼らず、複数の認証方式を組み合わせ、セキュリティを強化します。最近は、ログイン情報の不正取得やパスワードの推測によるアカウントの乗っ取り被害が増加しており、フィッシングサイトやなりすましサイトなど詐欺の手口も巧妙になっています。IDとパスワードによる認証だけではユーザーの各種情報を守ることが難しくなっており、それに代わる新たなセキュリティ手段として、MFAの導入することが急増しています。MFAの認証手段には「知識情報」「所持情報」「生体情報」の3パターンによる方式があります。「知識情報」による認証は、「ID」と「パスワード」による認証や「暗証番号」など、ユーザーだけが知り得る情報により本人認証を行います。また、「所持情報」は、利用者が持つデバイスやICカード等を活用し、ワンタイムパスワードやデジタル証明書といった手段で認証を行います。「生体情報」は、ユーザー自身の身体的特徴を活用する認証のことで、指紋や顔認証などを利用して本人認証を行います。
MFAはスマートフォンやパソコンのログイン認証や、Webサービスの本人認証などについても活用が広がっています。AWSのようなクラウドコンピューティングは、インターネットを介してサーバー・ストレージ・データベース・ソフトウェアといったコンピュータを使った様々なサービスを利用します。このため、クラウドサービスであるAWSのセキュリティを向上させるには、多要素認証(MFA)を設定して AWS のリソースを保護することが求められています。
IAMでMFAを有効にし、さらなるセキュリティを追加
AWS Identity and Access Management (IAM) は、AWSリソースへのアクセスを安全に管理するためのウェブサービスです。IAMでMFAを有効にすることによって、さらなるセキュリティが追加されます。AWS ウェブサイトやサービスにアクセスするときに、ユーザーは通常のログイン認証に加えて、AWSでサポートされている MFAメカニズムからの一意の認証情報を求められるためです。「所持情報」でAWSのMFAを行う場合、必要となるデバイスとして、仮想MFAデバイスとハードウェアデバイス、U2Fセキュリティキーなどがあります。仮想MFAデバイスは、主にスマートフォンなどにインストールして利用するアプリケーションのことを指します。「Google Authenticator」などが知られていて、自分のスマートフォンにアプリをダウンロードして利用します。
ハードウェア MFA デバイスとU2Fセキュリティキーは、いずれもユーザーが購入する物理デバイスです。ハードウェア MFA デバイスは表示するコードを生成し、AWSに署名するときにプロンプトが表示され、入力します。一方、U2FセキュリティキーはUSB接続で認証できるデバイスのことを指します。コンピュータのUSBポートに専用デバイスを接続することで、本人認証が行われます。AWSでは「FIDO セキュリティキー」を使用しています。FIDO セキュリティキーはユーザーに表示することなくレスポンスを生成し、サービスはそのレスポンスを検証します。
IT業界をリードする企業が名を連ねるFIDOアライアンスの規格を活用
FIDOセキュリティキーは、コンピュータのUSBポートに接続するデバイスで、FIDOアライアンスが策定したオープン認証規格である「FIDO2」に対応しています。FIDO2セキュリティキーを有効にすると、サインインするために、コードを手動で入力する代わりに、認証情報を入力してデバイスをタップします。FIDOアライアンスにはGoogle、Microsoft、Yahoo、LINEといったIT業界をリードする企業が名を連ね、その加盟企業数は年々増加し続けています。FIDOは、サーバから認証を切り離し、ユーザーの手元に置く「認証器」と名付けたデバイスで認証する仕組みです。認証器を使うことで、サーバがパスワードを管理する必要がなくなり、パスワードに頼らず複数のサーバにアクセスできるようになり、ユーザーが複数のパスワードを覚える必要もなくなるメリットがあります。またネットワークに認証情報を流さずサーバにも保管しないので、パスワードが漏洩するリスクも無くなります。
FIDOは認証器での認証そのものを規定しているわけではなく、ユーザーの手元で行われたた認証とサーバをどのように連携させるのかを規定しています。つまり、本人確認とサーバ認証を分けており、本人認証情報が格納されているのは、セキュリティキーやスマートフォンなどのデバイスの中です。セキュリティキーで認証を行うと、PKI(公開鍵基盤)により秘密鍵で暗号化した署名をサーバに送信し、公開鍵で署名を検証することで認証される仕組みになっています。
・AWSのMFAに利用可能なFIDOセキュリティキー
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Authenticatorアプリの代替機を使った多要素認証(MFA)
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて