AWSでは多要素認証が使えます

最近現場でAWS(Amazon Web Service)に触れる機会があり、
私が使っているIAMユーザでもログインをする際に多要素認証を行っております。

この多要素認証ひと手間かかりますが、
このひと手間で情報漏洩しない(に等しいほど可能性を低くできる)と考えればやらない手はありません。

ではこの多要素認証ですが、AWSでは以下の4つが使えます。
(1つは廃止されましたが…)

・SMSテキストメッセージベースMFA(廃止)
・U2Fセキュリティキー
・ハードウェアMFAデバイス
・仮想MFAデバイス

その前に①：多要素認証とは

4つの多要素認証…、
多要素認証ってさっきから言っているが、それはなんだ？という方に簡単な説明を。

多要素認証は言葉の通り多数(複数)の要素で認証を行うことです。

要素は主に3つあり、
「知識要素(パスワード等)」「所持要素(セキュリティトークン等)」
「生体要素(指紋等)」という要素があります。
このうちの２種類以上を使用して認証することを多要素認証といいます。

また英語でMulti-factor authenticationと言い、「MFA」と略されます。

その前に②：４つの認証方法の流れについて

以下の流れになります。
最初のID、パスワード入力は共通です。

1.(ユーザ)ID.パスワードの入力
2.(サイト)ID.パスワードの検証
3.(ユーザ)<認証ごとに異なる>
4.(サイト)<認証ごとに異なる>
5.(ユーザ)ログイン成功

つまりAWSでは２回目(２段目)の認証方法を４つから選べます。

AWSでの多要素認証についての説明

・SMSテキストメッセージベースMFA(廃止)

所持要素として携帯電話を使用します。

ID・パスワード入力後、
所持している携帯電話にてショートメッセージ形式で認証キーを受信し、
SMSで受信した数字を入力することでログインが可能になるという方法です。

・U2Fセキュリティキー

所持要素としてUSBポートに専用のデバイスを接続し使います。

ID・パスワード入力後、
サイト側からデバイスにアクセス要求を出し、
デバイスにタッチ等のアクションをすることによりログインが可能になるという方法です。

・ハードウェアMFAデバイス

所持要素としてワンタイムパスワードを生成する専用のデバイスを使用します。

ID・パスワード入力後、
時間同期にて生成されたワンタイムパスワードを入力することでログインが可能になるという方法です。

・仮想MFAデバイス

ハードウェアMFAを仮想化(ソフトウェアアプリとして実行)させたものです。
この場合はサイトにて利用登録したソフトがインストールされているハードウェアが所持要素となります。

ログインまでの流れもハードウェアMFAデバイスと同じです。

大まかな説明でしたが概要としては上記のようになります。

認証を２段階にしたうえで多要素にすればセキュリティはより堅固なものになりますので、
AWSのように多要素認証を設けているところでは設定することをお勧めします。