AWSログインで知るべきMFA設定と安全対策完全ガイド

はじめに

目的

この章では、本ドキュメントの目的と読み方をわかりやすく説明します。AWSのアカウントを安全に保つため、多要素認証（MFA）の基本から実務的な設定手順までを順を追って学べるように構成しています。専門的な前提知識は不要です。

対象読者

クラウド初心者から中級者の方、組織でAWSを運用する管理者や開発者を想定しています。セキュリティ対策を強化したい個人ユーザーにも役立ちます。

本書で学べること

• MFAとは何か、どのような種類があるかを具体例で理解できます。
• AWSにおけるMFAの重要性とリスク軽減の方法を学べます。
• IAMユーザー向けの実際の設定手順を、画面操作や注意点とともに確認できます。
• 最新のパスキー（パスワードに代わる認証）に関する概要にも触れます。

読み方のポイント

各章は実務で使える順序で並べています。まず概念を把握し、次に重要性を理解してから設定手順に進むと実践しやすいです。画面操作の手順は図やスクリーンショットを参照するとより確実に進められます。

多要素認証（MFA）の基礎知識

概要

多要素認証（MFA）は、ログイン時に複数の違う種類の本人確認を組み合わせる仕組みです。パスワードだけでの認証に比べて、不正アクセスを大幅に防げます。普段使う例では、パスワード＋スマートフォンの生体認証や、パスワード＋ワンタイムコードが挙げられます。

認証要素の種類（簡単な分類）

• 知識要素：ユーザーだけが知る情報（パスワード、PIN）。
• 所有要素：ユーザーが持っているもの（スマートフォン、ハードウェアトークン）。
• 生体要素：指紋や顔認証など、身体的特徴。

よく使われる方式と特徴

• 認証アプリ（TOTP）：スマホのアプリが30秒ごとのコードを生成します。ネット接続不要で安全性が高いです。
• SMS認証：携帯電話にコードを送ります。手軽ですが、携帯番号の乗っ取りに弱い点が懸念です。
• ハードウェアトークン：物理キーを挿す・タップして認証します。盗難対策やオフライン環境で有効です。
• パスキー（Passkey）：端末に保存した暗号鍵で認証します。パスワード不要で使いやすく、安全性も高いです。

なぜMFAが重要か

パスワードだけだと漏えいや推測で簡単に突破されます。MFAは攻撃者にとって障壁を増やし、重要な資産を守ります。

導入時のポイント

• まずは認証アプリかパスキーを優先してください。セキュリティと利便性のバランスが良いです。
• SMSは補助手段とし、単独の第二要素にはしないことを推奨します。
• バックアップ手段（回復コードや予備デバイス）を用意して運用の継続性を確保してください。

AWSにおけるMFAの重要性

概要

AWSアカウントの保護にMFAは欠かせません。メールアドレスとパスワードだけだと、パスワードが漏れた場合に不正アクセスを許してしまいます。MFAを有効にすると、パスワードに加えてもう一つの要素（例：ワンタイムコード）が必要になり、二重の防御を実現します。

なぜ必要か（具体例）

たとえば、従業員がフィッシングでパスワードを盗まれた場合でも、攻撃者はスマホの認証アプリやハードウェアトークンのコードがなければログインできません。これにより被害の拡大を防げます。

誰に設定すべきか

最優先はルートユーザーです。ルートは全権を持つため必ずMFAを設定してください。次に、管理者権限を持つIAMユーザーや、重要な操作を行うアカウントにも適用します。

方式と運用上の利点

代表的な方式は認証アプリ（TOTP）とハードウェアトークンです。認証アプリは導入が容易で、ハードウェアはより強固です。MFAを導入すると、不正ログインリスクが大幅に下がり、監査やコンプライアンス対応でも有利になります。

注意点

MFAデバイスの紛失や端末変更に備えて、回復手順やバックアップコードを用意してください。管理者は複数人で冗長化し、運用フローを文書化しておきましょう。

IAMユーザーを対象としたMFA設定手順

以下は、IAMユーザーが自身で多要素認証（MFA）を設定するための具体的な手順です。順番に進めれば簡単に設定できます。

1. AWSマネジメントコンソールへログインします。

2. MFAを設定したいIAMユーザーの資格情報でサインインしてください。

3. IAMダッシュボードへ移動します。

4. コンソール上部の検索バーに「IAM」と入力し、表示されたサービスを選択します。

5. 左側または画面上のQuick Linksから「自分の認証情報」を選択します。

6. MFAデバイスを割り当てます。

7. 認証情報一覧の「多要素認証（MFA）」欄で「MFAデバイスの割り当て」をクリックします。

8. MFAデバイスの種類を選びます。

9. 選択肢：仮想認証アプリ、パスキー（Passkey）／セキュリティキー、その他のハードウェアセキュリティキー。

10. 例：仮想認証アプリはGoogle AuthenticatorやAuthy、セキュリティキーはYubiKeyなどです。

11. MFAデバイス名を入力します。

12. 任意の識別名を付けます。複数登録時に区別しやすくなります。

13. 仮想認証アプリでの設定方法

14. QRコードが表示されます。スマホの認証アプリで読み込みます。

15. 表示された6桁のワンタイムパスワードを連続して2回入力して完了します。

16. パスキー方式での設定方法

17. Passkeyを選択し、利用端末の指紋や顔認証など端末側の認証を完了します（例：macOSのTouch IDやスマホの顔認証）。
18. ブラウザや端末の指示に従い操作してください。

補足の注意点：
– 設定後に一度ログアウトして、MFAログインを試し動作確認してください。
– 予備の方法（予備キーや管理者による回復手続き）を用意しておくと紛失時に安心です。
– デバイスを紛失した場合は、速やかに管理者に連絡し既存のMFAを無効化してください。