Amazon Web Services(AWS)は、アカウントのセキュリティとユーザビリティを強化するため、多要素認証(MFA)の新しい方法としてFIDO2パスキーを導入した。
さらに、昨年10月に発表されたように、インターネット企業は、「ルート」AWSアカウントは2024年7月末までにMFAを有効にする必要があることを私たちに思い出させる。
AWSのパスキー
FIDO2パスキーは物理的(ハードウェアキー)またはソフトウェアベースの認証ソリューションであり、公開鍵暗号方式(公開鍵+秘密鍵のペア)を活用して、認証試行の検証に使用されるサーバーから送信されるチャレンジに署名する。
ワンタイムパスワードとは異なり、パスキーはフィッシングや中間者攻撃に強く、同期可能で、複数のデバイスやOSアーキテクチャをサポートし、(通常は)解読不可能な暗号化によって強力な認証を提供する。
アマゾンによると、この実装により、AWSアカウントのMFA方法として追加する同期可能なソフトウェア・パスキーを柔軟に作成でき、iPhoneのApple Touch IDやノートPCのWindows Helloなどでロックを解除できるという。
インターネット企業は、フィッシングやソーシャル・エンジニアリング攻撃に脆弱な人は、AWSコンソールへのアクセスにパスキーを使用することを検討すべきだとしているが、最終的には、どのような形態のMFAでもないよりはましだと指摘している。
Amazonは顧客に対し、MFAを選択する際には、鍵保管庫へのアクセスや復旧をどのように処理するかなど、パスキー・プロバイダのセキュリティ・モデルを考慮することが重要であると述べている。
MFA採用の推進
MFA利用の義務化は、2024年7月からスタンドアロンのルートアカウントユーザーから開始され、当初は少数の顧客に影響を与え、数カ月かけて徐々に拡大し、ユーザーに猶予期間を与える。
当初、この要件が適用されるのは、最高レベルのアクセス権を持ち、AWS環境に大きな変更を加えることができるrootユーザーのみである。
サインイン時にポップアップアラートが表示され、影響を受けるアカウント所有者に新しい要件を思い出させる。
AWS組織のメンバーアカウントのルートユーザーと一般ユーザーアカウントは、すぐにMFAステップを有効にする必要はないが、最適なセキュリティのためにそうすることが強く推奨される。
MFA要件は他のユーザー・カテゴリーにも拡大される見込みだが、その計画は年内に共有される予定だ。
アマゾンによると、同社は最近、CISAのSecure by Designの誓約書に署名することで、MFAの採用を強化することにコミットしており、同社はこの目標に向けて積極的に取り組んでいる。
Comments