はじめに
概要
本ドキュメントは、AWSアカウントで安全にサインインするための多要素認証(MFA)についてまとめたものです。MFAとは、パスワードに加えてもう一つ以上の確認手段を使う仕組みで、スマートフォンの認証アプリやハードウェアキーなどが該当します。
目的
本書は、MFAの基本概念、代表的な認証方式、IAMユーザーとルートユーザーへの設定手順、実際のサインイン方法、最新のパスキー(パスワードに代わる仕組み)までを分かりやすく解説します。初めて設定する方でも手順に従って安全性を高められるよう配慮しています。
読み方の案内
各章は実践的な手順と図解の説明を想定しています。まず本章で目的と構成を確認し、続く章で設定と利用方法を順に学んでください。
AWSにおける多要素認証(MFA)とは
多要素認証(MFA)とは
MFAは二つ以上の異なる要素で本人確認を行う仕組みです。AWSでは通常のパスワード(知識情報)に加え、認証アプリが生成するワンタイムコードや物理トークン(所持情報)を組み合わせて使います。これにより、パスワードだけの場合よりも不正アクセスのリスクを大きく下げられます。
なぜAWSで重要か
クラウド上のリソースは少しの不正アクセスでも大きな被害につながります。MFAを設定すると、たとえパスワードが漏れても第二の要素がないとサインインできません。ルートアカウントや権限の高いIAMユーザーには特に有効です。
MFAの要素イメージ(簡単な例)
- 知識情報:パスワードやPIN
- 所持情報:スマートフォンの認証アプリ、ハードウェアトークン
よく使われる方式(概要)
- 認証アプリ(例:Google Authenticatorなど)の6桁コード(TOTP)
- ハードウェアMFAトークン
導入で期待できる効果と注意点
MFAを有効にすると、不正ログインの可能性を大幅に減らせます。導入後は認証端末のバックアップや紛失時の復旧手順を用意してください。IAMユーザーだけでなくルートユーザーにも設定することをおすすめします。
認証方法の3つの種類
概要
AWSのMFAで使われる認証は、大きく「知識情報」「所持情報」「生体情報」の3つに分かれます。どれか一つだけでは不十分なことが多く、異なる種類を組み合わせることで安全な二段階認証が実現します。
1) 知識情報(知っているもの)
説明: パスワードやPINなど、利用者が知っている情報です。
例: サインイン用のパスワードや、決済で使う4桁のPIN。AWSではまずパスワードが基本になります。
利点/欠点: 覚えるだけで使えて手軽ですが、盗まれたり推測されやすい欠点があります。
2) 所持情報(持っているもの)
説明: ユーザーが物理的に持っている機器やアプリが発行するコードです。
例: スマホの認証アプリ(6桁の時間変化コード)、ハードウェアトークン、セキュリティキー(USB/NFC)。
利点/欠点: 所持が必要なため安全性が高くなりますが、紛失時の対応が必要です。AWSではスマホの仮想MFAや物理トークンがよく使われます。
3) 生体情報(本人の身体的特徴)
説明: 指紋や顔、虹彩など身体の特徴で認証します。
例: スマホの指紋認証や顔認証。端末に組み合わせて使うことが多いです。
利点/欠点: 便利で盗まれにくい一方、単独での運用は管理や互換性に注意が必要です。
二段階認証の実現
二段階認証は、上の種類から2つ以上を組み合わせます。たとえば「パスワード(知識)+ 認証アプリ(所持)」が一般的です。要件と運用性を考えて、扱いやすさと安全性のバランスで選んでください。
IAMユーザーへのMFA設定手順
前提条件
- IAMユーザーでAWS Management Consoleにログイン済みであること。
- スマートフォンに認証アプリ(例:Google Authenticator、Authyなど)をインストールしておくこと。
手順
- コンソール右上の自分の名前をクリックし、「セキュリティ認証情報」を選択します。
- 「多要素認証(MFA)」の欄までスクロールし、「MFAデバイスの割り当て」をクリックします。
- 「仮想MFAデバイス(認証アプリ)」を選択します。
- 表示されるQRコードをスマートフォンの認証アプリでスキャンします。手動でのキー入力も可能です。
- 認証アプリに表示されるワンタイムパスワード(6桁)を、連続した2回分入力して「割り当て」をクリックします。
設定後の確認
- 正常ならMFAが有効と表示されます。次回以降のログイン時に、パスワード入力後にワンタイムパスワードの入力を求められます。
トラブル対処
- ワンタイムパスワードが受け付けられない場合は、スマホの時刻同期(自動時刻設定)を確認してください。
- 機種変更や紛失に備え、管理者にMFAのリセット方法を確認しておくと安心です。
補足
- ハードウェアMFAデバイスを使う場合は、同様に選択してシリアル番号とコードを登録します。
- MFAはアカウント保護に有効ですので、必ず有効化することをおすすめします。
MFAを使用したサインイン方法
サインインの流れ
MFAを有効にしたIAMユーザーは、まず通常どおりユーザー名(またはアカウントID)とパスワードでサインインします。パスワード認証が成功すると、画面に「MFAコードを入力してください」という追加画面が表示されます。ここで、認証アプリに表示される6桁の数字を入力すると認証が完了し、コンソールにアクセスできます。
コンソールでの具体的手順
- AWSサインインページにアクセスし、アカウント情報とIAMユーザー名を入力します。2. パスワードを入力してサインインを進めます。3. MFA入力画面が表示されたら、スマホの認証アプリ(例:Google Authenticator、Authy、Microsoft Authenticator)を開き、表示される6桁の数字を入力します。4. 正しければサインイン完了です。コードは通常30秒ごとに変わります。
CLIやスクリプトでの使い方(簡単な説明)
AWS CLIでは、MFAコードを使って一時的な認証情報を取得してから操作します。管理者が示すコマンドにMFAのシリアル番号と6桁のコードを渡す流れです。詳しいコマンドは環境によりますが、手順は「MFAコードで一時トークンを取得 → そのトークンで操作」です。
よくあるトラブルと対処
- コードが受け付けられない:スマホの時刻がずれていると誤動作します。認証アプリの時刻同期を行ってください。- デバイス紛失:管理者に連絡してMFAをリセットしてもらいます。事前にバックアップ方法(予備デバイスや管理者連絡先)を用意しておくと安心です。
安全に使うため、普段から認証アプリと連絡手段の管理を心がけてください。
ルートユーザーへのMFA設定
概要
ルートユーザー(アカウントの所有者)にもMFAを設定できます。ルートは強力な権限を持つため、MFAの設定は特に重要です。AWSのアップデートにより、未設定のルートでサインインするとMFA設定を促され、猶予期間後はMFAが必須になります。
設定手順(簡潔)
- ルートアカウントでサインインします(メールアドレスを使用)。
- 画面右上のアカウント名をクリックし「セキュリティ認証情報」を選びます。
- 「多要素認証(MFA)」の欄で「MFAの管理」をクリックします。
- 仮想MFA(スマホアプリ)かハードウェアMFAを選びます。
- 仮想MFAの例: Google Authenticator、Authy。QRコードをアプリでスキャンし、表示されるワンタイムコードを2回入力します。
- ハードウェアMFAは物理トークンを購入し、シリアル番号やコードを登録します。
- 登録が完了したらサインイン時にMFAコードが要求されます。
注意点と回復方法
- ルートは頻繁に使わないことをおすすめします。代わりに管理権限のあるIAMユーザーを作り、そちらにMFAを設定してください。
- MFA端末を紛失した場合、サポートで回復できますが、本人確認(請求情報など)が必要で時間がかかります。バックアップの手段(代替デバイスやハードウェアトークンの保管)を用意してください。
セキュリティのベストプラクティス
- 仮想MFAを使う場合は、スマホのバックアップを有効にしておくと再設定が楽になります。
- ハードウェアトークンは安全な場所に保管します。
- ルートMFAを設定したら、定期的にアクセス権や連絡先情報を確認してください。
パスキーによる多要素認証
パスキーとは
パスキーはパスワードに代わる認証情報で、端末内の秘密鍵と公開鍵で動作します。ユーザーは生体認証やPINで端末内の秘密鍵を使い、サービス側は公開鍵で本人確認を行います。
AWSでのMFAとしての仕組み
AWSではパスキーを使い、パスワード(知識情報)とパスキー(所持情報)を組み合わせて多要素認証を実現します。これによりパスワードだけでの不正アクセスを防げます。
IAMユーザーへの設定(概要)
- IAMの認証設定からパスキー登録画面を開きます。
- 端末でパスキーを作成し、AWSに公開鍵を登録します。
- 登録後はその端末でのサインインにパスキーが使えます。
サインイン時の流れ
- ユーザーは通常のパスワードでサインインを開始します。
- パスキー利用を選ぶと、端末が生体認証やPINを要求します。
- 認証成功で公開鍵照合が行われ、ログインが完了します。
対応デバイス・ブラウザ
最新の主要ブラウザやスマートフォンで広くサポートされています。社内ガイドで対応状況を確認してください。
セキュリティ上の注意と復旧
端末紛失時は速やかにパスキーを無効化してください。バックアップ手段(別デバイスの登録や管理者によるリセット)を用意すると安心です。
推奨事項
- 主要業務用アカウントにはパスキーMFAを有効にしてください。
- 複数デバイスにパスキーを登録し、復旧計画を立ててください。
- 管理者は無効化手順を周知しておくと安全です。
