はじめに
概要
本書は、AWS(アマゾン ウェブ サービス)における多要素認証(MFA)についてやさしく解説します。MFAの基本、IAMユーザーやルートユーザーへの設定手順、実際の使い方、最新のパスキーMFAなどを順を追って説明します。
なぜ重要か
パスワードだけでは不正アクセスのリスクが高まります。MFAを導入すると、スマートフォンのワンタイムコードや物理キーなど、もう一つの要素が加わり安全性を大きく高めます。具体例として、万が一パスワードが漏れても、コードがなければログインできません。
対象読者
初心者から中級者までを想定します。AWSの基本操作がわかる方なら、ステップごとに設定して運用できるようになります。
本書の構成
第2章以降でMFAの種類、設定手順、運用時の注意点、複数デバイスの管理方法やベストプラクティスを順に解説します。実務ですぐに使える手順を重視しています。
AWS多要素認証(MFA)とは何か
概要
AWSの多要素認証(MFA)は、ログイン時に二つ以上の異なる認証要素を組み合わせて本人確認を強化する仕組みです。一般的には「知識情報(パスワード)」と「所持情報(ワンタイムパスワード)」を同時に使います。これによりパスワードだけの保護より安全性が高まります。
具体的な例
よく使われるのはスマホの認証アプリ(Google AuthenticatorやAuthy)で表示される6桁のワンタイムパスワードです。物理キー(ハードウェアトークン)を使う場合もあります。
だれに必要か
ルートユーザー(アカウント作成者)とIAMユーザーの両方に設定することをおすすめします。特にルートユーザーは全権限を持つため、最優先でMFAを適用してください。
利点と注意点
利点は不正アクセスの大幅な抑止です。注意点は、デバイス紛失時の復旧方法を事前に準備しておくことと、MFAを必ずバックアップする運用です。
IAMユーザーへのMFA設定手順
概要
IAMユーザーにMFAを設定すると、パスワードに加えてワンタイムコードでログインを保護できます。ここでは画面操作と注意点をやさしく説明します。
手順(ステップごとに)
- AWS Management ConsoleにIAMユーザーでサインインします。カスタムサインインURLを使う場合はそちらを利用してください。
- 画面右上のユーザー名をクリックし、「セキュリティ認証情報」タブを開きます。
- 「MFAデバイスの割り当て」または「Manage MFA」ボタンを押します。
- デバイスの種類で「仮想MFA」を選び、わかりやすいデバイス名を入力します(例:スマホ・自分の名前)。
- 表示されるQRコードをスマホの認証アプリ(Google Authenticator、Authyなど)で読み取ります。アプリに6桁のコードが表示されます。
- アプリの6桁コードを連続して2回入力し、「割り当て」または「有効化」をクリックして完了です。
注意点とトラブル対処
- QRが読み取れない場合は、表示されたシークレットキーを手動でアプリに入力してください。
- 認証コードが合わない場合はスマホの時刻がずれている可能性があります。端末の時刻同期を確認してください。
- 端末を紛失したら、管理者(ルートまたはIAM管理権限保持者)に連絡し、MFAを無効化して再設定してもらってください。
ちょっとしたコツ
- デバイス名は複数登録時の混乱を避けるため具体的にします(例:携帯:山田)。
- 重要なアカウントは事前に復旧方法を決めておくと安心です。
ルートユーザーへのMFA設定
概要
ルートユーザーにもMFAを必ず設定してください。ルートはアカウント全体の権限を持つため、攻撃者に狙われやすいです。AWSは未設定の際にサインイン時に有効化を促します。将来的に必須にする予定です。
設定手順(簡潔)
- ルートでサインインし、画面右上のアカウント名をクリックします。
- 「セキュリティ認証情報」を選びます。
- 「多要素認証(MFA)」の欄でMFAデバイスの割り当てを開始します。
- 仮想MFA(スマホの認証アプリ)か物理キー(セキュリティキー)を選びます。
- 仮想MFAなら表示されるQRコードをアプリで読み取り、連続する2つのワンタイムコードを入力して有効化します。物理キーは指示に従って接続し登録します。
注意点
- ルートのMFAを失うと復旧に時間がかかるため、物理キーを用意するか安全な保管方法を確保してください。
- ルートは日常的に使わず、IAM管理者での作業を基本にしておきます。
MFAの実際の利用方法
操作の流れ
- ユーザー名とパスワードでサインインします。
- MFA入力画面が表示されます。
- 認証アプリ(例:Google Authenticator、Authy)に表示される6桁の数字を確認します。
- 6桁を入力して送信すると認証が完了し、ログインできます。
認証アプリの使い方(簡単な例)
- アプリを開くとアカウント名と6桁が表示されます。数字は数十秒ごとに切り替わります。
- 表示された数字をそのまま入力してください。数字が切り替わる直前は入力が失敗しやすいので、できるだけ新しい表示を使います。
コンソール以外での利用(例:AWS CLI)
- コマンドラインでは、MFAコードを使って一時的な認証情報(STSトークン)を取得します。
- 例:aws sts get-session-token –serial-number –token-code 123456
- 取得した一時認証情報でAPIやCLI操作が可能になります。
トラブルシューティングと注意点
- アプリの時刻がずれているとコードが無効になります。端末の時刻を自動同期にしてください。
- MFA端末を紛失した場合は管理者に連絡し、MFAの解除/再登録を依頼してください。
- 利便性のために「このブラウザを信頼する」機能があれば短期間の再認証を省略できますが、共有端末では使用しないでください。
新しいセキュリティ機能:パスキーMFA
概要
AWSは従来の時間ベースのワンタイムパスワード(TOTP)に加えて、パスキー(Passkey)を使ったMFAを提供します。パスキーは生体認証(指紋や顔認証)や外部セキュリティキー(FIDO2対応)を利用し、フィッシング耐性が高い点が特徴です。
主な利点
- フィッシングに強い
- 操作が素早くシンプル(生体認証ワンタッチなど)
- 端末に安全に保存されるため漏洩リスクが低い
設定手順(概略)
- AWSコンソールでIAMを開く
- 対象ユーザーの「セキュリティ認証情報」へ移動
- 「MFAデバイスの割り当て」を選び、「Passkey or security key」を選択
- ブラウザの指示に従ってパスキーを登録(生体認証やセキュリティキーのタッチ)
注意点と運用上の工夫
- 最新のブラウザとOSが必要です。古い端末では動作しない場合があります。
- 管理者は複数の認証方法(例:パスキー+予備のセキュリティキー)を割り当て、端末紛失時に備えてください。
- 重要操作やルートユーザーにはパスキーを第一選択にすることをおすすめします。
複数のMFAデバイス設定
概要
1人のユーザーに複数のMFAデバイスを割り当てると、耐障害性とアカウント回復能力が向上します。主に「主要デバイス」と「バックアップデバイス」を用意します。
利点
- 端末紛失時でもログイン不能になりにくい
- ハードウェア故障やアプリの再設定時のリスク低減
- 組織内で冗長性を持たせられる
組み合わせ例
- スマホの認証アプリ(例:TOTP)+ハードウェアトークン
- 認証アプリ+セキュリティキー(物理キー)
- 複数のスマホアプリ(職用・私用)
設定の概略手順
- 管理者権限でユーザーのセキュリティ設定画面を開く
- 主要デバイスを登録(QRコードをスキャンする等)
- バックアップデバイスを同様に登録
- 各デバイスに分かりやすい名前を付ける
運用上の注意点
- デバイス名や登録日時を記録しておくと管理しやすいです
- 退職や入れ替え時は速やかに不要なデバイスを削除してください
- バックアップは複数種類(アプリ+物理キー)にすると安全性が上がります
トラブル時の対処
- 片方のデバイスが使えない場合、もう一方でログインして削除・再登録します
- 両方失われた場合は、管理者による本人確認の上での解除手順を用意しておくと復旧が早くなります
(途中の章ではまとめを設けない)
WafCharmなどの管理ツールでの2要素認証
WafCharmのような管理ツールでも、メールアドレス+パスワード+reCAPTCHAに加え、一定時間有効な認証コード(ワンタイムコード)を求める2要素認証(2FA)で管理画面を強化できます。
提供される主な方式
- Authenticatorアプリ(TOTP):QRコードをスマホの認証アプリで読み取り、6桁のコードを入力して認証します。例:Google AuthenticatorやAuthy。
- SMS/メールコード:登録済みの電話番号やメールに届く使い捨てコードを使います。
- バックアップコード:端末紛失時の救済用に一度だけ使えるコードを発行します。
設定の流れ(一般的な例)
- 管理画面のアカウント設定→2段階認証を選択します。
- Authenticatorを選ぶとQRコードが表示されます。スマホでスキャンして生成されるコードを入力して有効化します。
- バックアップコードを必ず保存してください。印刷や安全なパスワード管理ツールで保管します。
運用上の注意
- 管理者全員に2FAを義務化すると安全性が高まります。
- 端末紛失時は即時に該当デバイスを無効化し、バックアップコードまたはサポート手順で復旧してください。
- reCAPTCHAはボット対策、2FAは本人確認強化という役割です。
- ログを定期的に確認し、不審なログインはすぐに調査・無効化します。
セキュリティのベストプラクティス
以下は、AWSで多要素認証(MFA)を安全に運用するための実践的な指針です。新規IAMユーザー作成時に特に注意してください。
1) 優先度の高い設定
- ルートユーザーに必ずMFAを有効化します。クラウド管理の最重要アカウントとして保護が最優先です。
- 新規IAMユーザー作成時は、初回ログイン前にMFAを設定するか、設定を促すポリシーを適用します。
2) デバイス選びと冗長性
- 重要なアカウントにはハードウェアトークン(U2FやTOTPハードウェア)を推奨します。
- バックアップ用に別デバイスを用意し、紛失時のロックアウトを防ぎます。仮想MFAアプリを二台で同期する運用は避け、代わりに管理者によるリカバリ手順を整備します。
3) 運用と自動化
- IAMロール、短期トークン(STS)を活用し、長期的なアクセスキーの使用を最小化します。
- AWS OrganizationsやService Control PoliciesでMFA必須を組織ルールとして強制します。
4) 監査とアラート
- CloudTrailで認証の失敗やMFA変更イベントを監視し、異常があれば即時通知するアラートを設定します。
- 定期的にMFA登録状況をチェックし、未設定ユーザーを把握します。
5) 教育と手順書
- ユーザーに対してMFAの利点と設定手順を分かりやすく案内します。
- デバイス紛失時の連絡手順、再発行フローを明文化し、担当者を明確にします。
これらを組み合わせることで、MFAの導入効果を最大化しつつ、運用リスクを低減できます。
