AWS(Amazon Web Services)では、アカウントのセキュリティを強化するために、多要素認証(MFA)を推奨しています。
MFAを有効にすることで、パスワードだけではありません。
別の認証要素を要求します。
不正アクセスを防止できます。
今回の記事では、
- AWS MFAの種類
- それぞれの特徴
- 設定方法
についてわかりやすく解説します。
目次
AWS MFAの種類
AWSでは、主に以下の3種類のMFAオプションを提供しています。
仮想MFAデバイス
スマートフォンやタブレットにインストールする認証アプリ(Google Authenticator、Microsoft Authenticatorなど)を利用します。
時間ベースのワンタイムパスワード(TOTP)を生成します。
認証に利用します。
手軽に利用できます。
多くのユーザーに推奨されます。
ハードウェアMFAデバイス
物理的なハードウェアトークンを利用します。
- TOTPを生成するハードウェアトークン
- FIDO U2F/FIDO2セキュリティキー
などがあります。
物理的なデバイスのため、セキュリティが高いとされています。
セキュリティキー
USBやBluetoothで接続する物理的なデバイスです。
FIDO U2FやFIDO2などの標準規格に対応しています。
高いセキュリティを提供します。
パスキーにも対応しています。
各MFAの特徴
| MFAの種類 | 特徴 | メリット | デメリット |
|---|---|---|---|
| 仮想MFAデバイス | 認証アプリを利用 | 手軽に利用可能、コストが低い | スマートフォン紛失時のリスク |
| ハードウェアMFAデバイス | 物理的なトークンを利用 | セキュリティが高い | 物理的なデバイスの管理が必要 |
| セキュリティキー | 物理的なセキュリティキーを利用 | 非常に高いセキュリティ、パスキー対応 | 物理的なデバイスの管理が必要、コストがやや高い |
MFAの設定方法
AWS MFAの設定は、AWSマネジメントコンソールから行います。
具体的な手順は、AWSのドキュメントを参照してください。
- IAM ユーザーの AWS 多要素認証 (MFA): https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html
MFA利用のベストプラクティス
ルートアカウントだけではありません。
IAMユーザーにもMFAを設定しましょう。
複数のMFAデバイスを登録しましょう。
バックアップを用意しましょう。
MFAデバイスの紛失・故障に備えましょう。
復旧手順を確認しておきましょう。
AWS MFAは、アカウントのセキュリティを強化するための重要な機能です。
ご自身の環境やセキュリティ要件に合わせて、最適なMFAオプションを選択してください。
弊社では、AWS MFA導入にも対応しております。
既に公開済みのシステムについても柔軟に対応しております。
お気軽にご相談ください。
読了ありがとうございました!
この記事に関することでお困りの方は
お気軽にご相談ください!
↓ ↓ ↓
