パスキーのサポートによるセキュリティと利便性の強化とMFA 要件の拡大

本ブログは 2024 年 6 月 11 日に公開された Blog “Passkeys enhance security and usability as AWS expands MFA requirements” を翻訳したものです。

Amazon Web Services (AWS) は、お客様のワークロードを実行するための最も安全なインフラストラクチャとなるように設計されています。クラウドにおける「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の実践を、AWS は Day 1 (創業当初) から先駆的に実践してきました。本日 (2024 年 6 月 11 日)、AWS は MFA 機能の拡張の一環として、多要素認証 (MFA) の方法として FIDO2 パスキーのサポートを開始しました。お客様の強力な認証のオプションをさらに強化する取り組みです。パスキーは、多くのお客様に対して、高度に安全でユーザーフレンドリーな MFA オプションを提供します。

変更点

2023 年 10 月、AWS は AWS アカウントで最も特権を持つユーザーに対して MFA を必須とすることを最初に発表しました。これは AWS Organizations の管理アカウントのルートユーザーから始まり、その後他のユースケースに拡大されます。2024 年 7 月から、独立したアカウント (AWS Organizations で管理されていないアカウント) のルートユーザーは、AWS マネジメントコンソールにログインする際に MFA の使用が必須となります。管理アカウントと同様に、この変更は少数のお客様から始まり、数ヶ月かけて段階的に拡大していきます。お客様には MFA を有効にするための猶予期間が設けられ、ログイン時にお知らせとして表示されます。この変更は、AWS Organizations のメンバーアカウントのルートユーザーには適用されません。メンバーアカウントなど、残りのルートユーザーのユースケースに対する MFA 要件については、2024 年後半に詳細な情報を共有する予定です。これは、より多くのユーザーに対して大規模に MFA を管理するための追加機能の開発を進めながら行います。

今後、数ヶ月間でこのプログラム拡大の準備を進める中、本日、FIDO2 パスキーを MFA 方式としてサポートすることを発表します。これにより、お客様は MFA 要件に準拠し、基本的なセキュリティポスチャを強化できるようになります。パスキーはすでに世界中の何十億ものコンピューターやモバイルデバイスに使われており、デバイスに組み込まれている指紋、顔スキャン、PIN などのセキュリティメカニズムのみが使用されています。パスキーを使用する例として、iPhone の Apple Touch ID や、ラップトップの Windows Hello を認証機能として設定し、同じパスキーを MFA 方式として使用して、お使いの様々なデバイスから AWS コンソールにサインインすることができます。

この 1 年間、業界ではパスキーについて多くの議論がありました。そこで、このブログでは、パスキーに関するよくある質問に回答し、セキュリティ戦略にどのように組み込めるかについての考察を共有します。

そもそもパスキーとは何か？

パスキーは、なじみのある技術に付けられた新しい名前です。パスキーは FIDO2 クレデンシャルであり、公開鍵暗号を使用して強力でフィッシング耐性のある認証を提供します。パスキーは同期機能を持ち、Apple、1Password、Google、Dashlane、Microsoft などのクレデンシャル管理サービスによる FIDO2 実装の進化形です。これにより、FIDO キーは USB ベースのキーなどの物理デバイスに保存される代わりに、デバイスやオペレーティングシステム間でバックアップや同期が可能になります。

これらの進化は、利便性とアカウントの復旧を重視するお客様にとって大幅な改善となります。しかし、FIDO2 を構成する仕様に変更を加える必要はありませんでした。パスキーは、FIDO2 が当初から備えていた、暗号技術的に安全でフィッシング耐性のある基本的な特性を同じように備えています。FIDO アライアンスのメンバー企業として、AWS は FIDO と協力して強力な認証技術の進化と成長をサポートし続けており、利便性と強力なセキュリティのバランスが取れた FIDO 技術の新しい利用体験を実現できたことを大変喜ばしく思います。

パスキーの利用対象者は？

パスキーを利用すべき人について説明する前に、どのようなタイプの MFA でも、MFA を全く使用しないよりは良いということを強調しておきます。MFA は、アカウントに適用できる最もシンプルで効果的なセキュリティ管理策の 1 つであり、誰もが何らかのタイプの MFA を使用すべきです。しかし、個人で使用するものや会社で導入するものを決める際には、MFA のタイプ間の主な違いを理解しておくことが有用です。

フィッシング耐性のある MFA タイプとして、パスキーや他の FIDO2 認証器 (Authenticator) を推奨します。近年、認証情報を狙った攻撃が増加するにつれ、ワンタイム PIN (OTP) を MFA に使用するユーザーを標的としたフィッシングやソーシャルエンジニアリングの攻撃も増加しています。例えば、OTP デバイスのユーザーは、デバイスから PIN を読み取って手動で入力する必要があるため、悪意のある攻撃者が、無自覚なユーザーに OTP を読み上げさせようとし、MFA の効果を無効化しようとする可能性があります。パスキーは、他の MFA と同様にパスワードのみの認証よりも明らかに改善されています。さらに多くの場合、OTP ベースの MFA よりもユーザーフレンドリーで安全です。これが、パスキーがセキュア・バイ・デザイン戦略において重要なツールである理由です。効果的なセキュリティには、使いやすいセキュリティが不可欠です。このため、パスキーは多くの人にとって、ユーザー体験とセキュリティのバランスを取るための優れたオプションです。より安全でありながら使いやすいセキュリティメカニズムを見つけるのは常に容易ではありませんが、OTP ベースの MFA と比較すると、パスキーはそのような好ましい例外の 1 つです。

同期機能のない FIDO2 ハードウェアセキュリティキーや認証アプリなど、他のタイプの MFA をすでに使用している場合、同期可能なパスキーに移行すべきかどうかは、お客様や組織の用途や要件によって異なります。FIDO2 セキュリティキーは、作成したデバイスにのみクレデンシャルが紐付けられているため、FIPS 認証デバイスなど、最も強力な認証形式を必要とする規制やセキュリティ要件を持つお客様に対して、最高レベルのセキュリティ保証を提供します。また、パスキープロバイダーのセキュリティモデルを理解することも重要です。例えば、鍵保管庫へのアクセスや回復のためにプロバイダーが設定する要件などが、今後どのような種類の MFA を導入または使用するかを決定する際の全体的なセキュリティモデルにおいて重要な考慮事項となります。

MFA の利用拡大

2024 年 5 月の RSA カンファレンスで、AWS は 米国サイバーセキュリティ・インフラセキュリティー庁 (CISA) のセキュア・バイ・デザインの誓約 に署名することを決定しました。これは CISA のセキュア・バイ・デザイン原則に沿った、エンタープライズソフトウェア製品およびサービスのための自主的な誓約です。この誓約の重要な要素の 1 つは、アカウントセキュリティを強化する最もシンプルで効果的な方法の 1 つである、多要素認証 (MFA) の利用を促進することです。

MFA として使用される場合、パスキーはユーザーフレンドリーな方法で認証のセキュリティを強化します。AWS コンソールアクセスのセキュリティを強化するために、今すぐパスキーを登録して使用できます。これにより、2024 年 7 月から多くのお客様に展開される AWS のデフォルト MFA セキュリティ要件に準拠するのに役立ちます。セキュア・バイ・デザインの取り組みの他の要素に関する状況と進捗については、今後のお知らせでさらに詳しくお伝えします。それまでの間、サインインを行うすべてのサービスで何らかのタイプの MFA を採用することを強くお勧めします。特に、FIDO2 パスキーによって強化されたフィッシング耐性のある MFA の採用をお勧めします。

このブログに関する質問がある場合は、AWS サポートにお問い合わせください。