AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します

セキュリティは Amazon Web Services (AWS) の最優先事項であり、6月11日、お客様の AWS アカウントのセキュリティ体制を強化するのに役立つ 2 つの機能をリリースします。

• まず、ルートユーザーと AWS Identity and Access Management (IAM) ユーザー向けに、サポート対象の多要素認証 (MFA) のリストにパスキーを追加します。
• 次に、ルートユーザーに MFA を適用し始めました。最も機密性の高いユーザー、つまり AWS Organization の管理アカウントのルートユーザーから始めました。2024年の残りの期間中に、この変更を他のアカウントにも引き続き適用します。

MFA は、アカウントのセキュリティを強化する最も簡単で効果的な方法の 1 つであり、保護層をさらに強化して権限のない個人がシステムやデータにアクセスするのを防ぎます。

ルートユーザーと IAM ユーザー用のパスキー付きの MFA
パスキーは、FIDO2 認証用に作成された認証情報に使用される一般的な用語です。

パスキーは、サービスまたはウェブサイトに登録したときにクライアントデバイス上で生成される一組の暗号化キーです。キーペアはウェブサービスドメインにバインドされ、それぞれ一意です。

キーのパブリック部分はサービスに送信され、サービス側に保存されます。キーのプライベート部分は、セキュリティキーなどの安全なデバイスに保存されるか、iCloud キーチェーン、Google アカウント、または 1Password などのパスワードマネージャーといったクラウドサービスを使用するときに、ユーザーアカウントに接続されたデバイス間で安全に共有されます 。

通常、キーのプライベート部分へのアクセスは、デバイスに応じて、PIN コードまたは生体認証 (Apple Face ID、Touch ID、Microsoft Hello などの生体認証) によって保護されます。

パスキーで保護されているサービスで認証しようとすると、サービスがブラウザに課題を送信します。その後、ブラウザは私のデバイスにプライベートキーを使って課題に署名するように要求します。これにより、PIN または生体認証がトリガーされ、プライベートキーが保存されている安全なストレージにアクセスします。ブラウザは署名をサービスに戻します。署名が有効であれば、サービスに保存されているパブリックキーと一致するプライベートキーを所有していることが確認され、認証が成功します。

このプロセスと現在使われているさまざまな標準 (FIDO2、CTAP、WebAuthn) の詳細については、2020 年 11 月に AWS IAM アイデンティティセンターでパスキーのサポートを開始したときに私が書いた記事を参照してください。

パスキーはパスワードの代わりに使用できます。ただし、今回の初回リリースでは、パスワードに加えてパスキーを第二要素認証として使用することにしました。パスワードは知っているもので、パスキーは持っているものです。

パスキーはパスワードよりもフィッシング攻撃に対する耐性が高くなります。まず、指紋、顔、または PIN コードで保護されたプライベートキーにアクセスするのがはるかに困難です。次に、パスキーは特定のウェブドメインにバインドされるため、意図せず開示された場合の範囲が狭まります。

エンドユーザーは、使い勝手が良く、簡単に復元できるというメリットがあります。携帯電話やノートパソコンに組み込まれている認証システムを使用して、暗号化で保護された認証情報をロック解除して AWS サインインを行うことができます。また、クラウドサービス (iCloud キーチェーン、Google アカウント、1Password など) を使用してパスキーを保存すると、パスキープロバイダーのアカウントに接続されているどのデバイスからでもパスキーにアクセスできます。これにより、不幸にもデバイスを紛失した場合に、パスキーを回復できます。

IAM ユーザーのパスキー MFA を有効にする方法
パスキー MFA を有効にするには、コンソールの AWS Identity and Access Management (IAM) セクションに移動します。ユーザーを選択し、ページを下にスクロールして [Multi-factor authentication (MFA)] (多要素認証 (MFA)) セクションに移動します。次に、[Assign MFA device] (MFA デバイスの割り当て) を選択します。

耐障害性とアカウントの回復を強化するために、1 人のユーザーに対して複数の MFA デバイスを有効にできます。

次のページで [MFA device name] (MFA デバイス名) を入力し、[Passkey or security key] (パスキーまたはセキュリティキー) を選択します。その後、[Next] (次へ) を選択します。

パスキーをサポートするパスワードマネージャーアプリケーションを使用すると、ポップアップが表示され、そのアプリケーションを使用してパスキーを生成して保存するかどうかを尋ねてきます。そうしない場合、ブラウザにいくつかのオプションが表示されます。画面の正確なレイアウトは、オペレーティングシステム (macOS または Windows) と使用するブラウザによって異なります。これは、Chromium ベースのブラウザを搭載した macOS で表示される画面です。

残りの操作は、選択内容によって異なります。iCloud キーチェーンは、パスキーを生成して保存するための Touch ID の入力を促します。

このデモでは、電話などの別のデバイスでパスキーをブートストラップする方法を説明します。そこで、代わりに [Use a phone, tablet, or security key] (スマートフォン、タブレット、またはセキュリティキーを使用する) を選択します。ブラウザに QR コードが表示されます。次に、携帯電話を使用して QR コードをスキャンします。電話が Face ID で私を認証し、パスキーを生成して保存します。

この QR コードベースのフローでは、あるデバイスのパスキーを使用して別のデバイス (デモでは電話とノートパソコン) にサインインできます。これは FIDO 仕様で定義されており、クロスデバイス認証 (CDA) として知られています。

すべてがうまくいけば、IAM ユーザーのパスキーが登録されます。

IAM ユーザーを使って AWS コンソールで人を認証することはお勧めしません。代わりに AWS IAM アイデンティティセンターでシングルサインオン (SSO) を設定することをお勧めします。

サインインエクスペリエンスはどのようなものですか?
MFA を有効にしてパスキーを設定したら、アカウントにサインインしてみます。

ユーザーエクスペリエンスは、使用するオペレーティングシステム、ブラウザ、およびデバイスによって異なります。

例えば、iCloud キーチェーンが有効になっている macOS では、Touch ID キーをタッチするようにシステムから求められます。このデモでは、CDA を使用して携帯電話にパスキーを登録しました。そのため、携帯電話で QR コードをスキャンするようにシステムから求められます。スキャンが完了すると、電話の Face ID で認証してパスキーのロックを解除し、AWS コンソールによりサインイン手順が終了します。

ルートユーザーに MFA の使用を強制する
6月11日 2 つ目の発表は、一部の AWS アカウントのルートユーザーに MFA の使用を強制し始めたことです。この変更は昨年、Amazon の最高セキュリティ責任者である Stephen Schmidt のブログ記事で発表されました。

Schmidt の言葉を引用すると:

AWS で最も権限のあるユーザーが MFA で保護されていることを確認することは、AWS のお客様のセキュリティ体制を継続的に強化するという当社の取り組みの新たな一手に過ぎません。

まず、最も機密性の高いアカウントである AWS Organizations の管理アカウントから始めました。ポリシーの導入は段階的に行われ、一度に数千のアカウントに対してしか行えません。今後数か月にわたって、大部分の AWS アカウントのルートユーザーに MFA 強制ポリシーを段階的に導入する予定です。

ルートユーザーアカウントで MFA を有効にしていない状態でアカウントが更新されると、サインイン時に MFA を有効にするように求める新しいメッセージがポップアップで表示されます。猶予期間があり、その後は MFA が必須になります。

中国を除くすべての AWS リージョンで、今日からパスキーを多要素認証に使用できるようになりました。

中国の 2 つのリージョン (北京、寧夏) と AWS GovCloud (米国) を除くすべての AWS リージョンで多要素認証の使用を強制します。これらのリージョンの AWS アカウントにはルートユーザーがいないためです。

次に、アカウントのルートユーザーのためにパスキー MFA を有効にします。

— seb

原文はこちらです。