AWSは先日、2つの新しいセキュリティ機能を発表した。1つ目は、rootユーザーとIAMユーザーの多要素認証(MFA)にパスキーが使用できるようになり、ユーザー名とパスワードだけでなく、さらなるセキュリティを提供できるようになった。2つ目は、AWSはAWS組織のrootユーザーアカウントから、rootユーザーに対してMFAを要求するようになった。この要件は、年間を通じて他のアカウントにも拡大される予定だ。
AWSのプリンシパルデベロッパーアドボケイトであるSébastien Stormacq氏は、ブログ投稿でMFAに関連するこれらの発表について述べた。Stormacq氏は、FIDO2認証で使用されるパスキーは、サービスやウェブサイトにサインアップする際にデバイス上に作成される暗号鍵のペアであると述べた。サービスプロバイダーが保管する公開キーと、(セキュリティ・キーのように)デバイスに安全に保管される秘密キー、またはiCloud Keychainや Googleアカウント、1Passwordのようなパスワードマネージャーなどのサービスを通じてデバイス間で同期される秘密鍵だ。
セキュリティ関連の発表のもう1つとして、Stormacq氏は、AWSが現在、特定のアカウントのrootユーザーに対して多要素認証(MFA)を実施していることに言及した。この取り組みは、Amazonの最高セキュリティ責任者であるStephen Schmidt氏が昨年発表したもので、もっとも機密性の高いアカウントのセキュリティを強化することを目的としている。
AWSはこの展開を徐々に開始し、限られた数のAWS Organizations管理アカウントから始め、時間をかけてほとんどのアカウントに拡大していく。rootユーザーでMFAを有効にしていないユーザーには、ログイン時にMFAを有効にするよう求めるプロンプトが表示され、必須となるまでの猶予期間が設けられる。
パスキーMFAを有効にするには、AWSコンソールのIAMセクションにアクセスする必要がある。必要なユーザーを選択した後、MFAセクションを探し、"Assign MFA device "をクリックする。1人のユーザーに対して複数のMFAデバイスを有効にすることで、アカウント回復オプションを改善できることに注意することが重要だ。
/filters:no_upscale()/news/2024/06/aws-mfa-passkey-support/en/resources/12024-05-23_14-34-47-1719730666867.png)
出典:AWSはrootユーザーとIAMユーザーにパスキーによる多要素認証(MFA)を追加
次に、デバイスに名前を付け、"Passkey or security key"を選択する。パスキーをサポートするパスワードマネージャーが使用されている場合、パスキーの生成と保存が提案される。そうでない場合は、ブラウザがオプションを提供する(OSとブラウザによって異なる)。例えば、Chromiumベースのブラウザを使用しているmacOSマシンでは、Touch IDを使用してiCloudキーチェーン内にパスキーを作成・保存するプロンプトが表示される。これ以降の体験は、ユーザーの選択によって異なる。
/filters:no_upscale()/news/2024/06/aws-mfa-passkey-support/en/resources/12024-06-07_18-55-25-1719730666867.png)
出典:AWS、rootユーザーとIAMユーザーにパスキーによる多要素認証(MFA)を追加
この発表に関するRedditのディスカッションで、ユーザーの1人が潜在的な矛盾を指摘した。リリースのドキュメントではIAMよりもIdentity Centerについて言及しているが、新しく追加されたパスキーのサポートはIdentity Centerには及ばないようだ。スレッドでの議論では、このリリースは主に、既存のローミング認証機能(セキュリティキー)のサポートに加えて、FIDO2プラットフォーム認証機能(パスキー)のサポートが追加されたと結論づけられた。
多要素認証用のパスキーは現在、中国を除くすべての地域のAWSユーザーで利用できる。さらに、rootユーザーに対する多要素認証の実施は、rootユーザーなしで運用されている、2つの中国リージョン(北京と寧夏)とAWS GovCloud(米国)を除くすべてのリージョンで有効である。