セキュア・バイ・デザイン: MFA 要件の拡大に伴う AWS の集中型セキュリティ統制の強化

本ブログは 2024 年 11 月 15 日に公開された Blog “Secure by Design: AWS enhances centralized security controls as MFA requirements expand” を翻訳したものです。

Amazon Web Services (AWS) は、Day 1 (創業当初) からセキュア・バイ・デザインの原則に基づいてサービスを開発してきました。初期状態でもお客様のセキュリティポスチャが高い基準に設定されている特徴があります。強力な認証は、アカウントセキュリティ全体の基礎となる要素であり、多要素認証 (MFA) の使用はシステムやデータへの不正アクセスを防ぐための最もシンプルで効果的な方法の 1 つです。MFA を有効にすることで、パスワードを狙った攻撃の 99% 以上を防止できることがわかっています。本日は、MFA の要件拡大について、最初に発表してからの過去 1 年間の進捗状況をお伝えします。2023 年 10 月の発表では、AWS Management Console のルートユーザーに MFA の使用を必須とすることで、お客様のデフォルトのセキュリティポスチャを向上させることを要件としました。

近年、一般的な職場環境は大きく変化しています。ハイブリッドワークや BYOD (私用デバイスの業務利用) ポリシーなどの導入が増加し、セキュリティ境界の定義はより複雑になりました。ほとんどの組織は、アイデンティティベースの統制を重視するようにセキュリティ境界を調整しましたが、これによってユーザーパスワードが境界における新たな弱点となりました。ユーザーは使いやすさを重視して複雑さの低いパスワードを選択したり、複数のウェブサイトで同じ複雑なパスワードを再利用したりすることがあり、あるウェブサイトでデータ漏洩が発生した場合に大きなリスクとなります。

このようなリスクに対するお客様のレジリエンスを向上させるため、私たちは多くの対策を講じています。例えば、漏洩した認証情報をオンラインソースでモニタリングし、それらが AWS で悪用されることを防いでいます。また、脆弱なパスワードが設定されることを防止し、ユーザーにデフォルトのパスワードを設定することは決してありません。さらに、MFA をまだ有効にしていないお客様に対して異常なサインイン活動を検出した場合、プライマリメールアドレスにワンタイム PIN を送信して検証を行います。これらの対策にもかかわらず、パスワードのみの認証には本質的なリスクが残ります。

状況を改善するために、2 つの重要な改善機会を認識しました。1 つ目は、お客様の MFA 採用を加速し、高い権限を持つユーザーに MFA を要求することで、AWS のデフォルトのセキュリティポスチャを強化することです。2024 年 5 月、大規模な環境のユーザーから始めて、AWS Organizations 管理アカウントのルートユーザーに MFA を要求するようになりました。そして 6 月には、MFA 方式として FIDO2 パスキーのサポートして、お客様のセキュリティ要件を満たし、非常に安全性が高くありながらユーザーフレンドリーな新たな選択肢も追加しました。同時に、MFA 要件を拡大し、スタンドアロンアカウントのルートユーザーも含めることを発表しました。AWS Identity and Access Management (IAM) が 2024 年 6 月に FIDO2 パスキーのサポートを開始して以降、フィッシング攻撃に強い MFA の登録率は 100% 以上増加しました。2024 年 4 月から 10 月の間に、75 万以上の AWS ルートユーザーが MFA を有効にしました。

2 つ目に認識したのは、不要なパスワードを完全に排除することです。パスワードのセキュリティ上の問題に加えて、パスワードベースの認証を保護しようとすると、特に大規模に運用しているお客様や、規制要件によって定期的なパスワードのローテーションが必要なお客様にとって、運用上のオーバーヘッドが発生します。本日、AWS Organizations で管理されているアカウントのルートアクセスを一元管理する新機能を発表しました。この機能により、ルートプリンシパルの使用に対する強力な統制を維持しながら、管理が必要なパスワードの数を大幅に削減できます。お客様は、IAM コンソールまたは AWS CLI を通じた簡単な設定変更で一元化されたルートアクセスを有効にできるようになりました。この手順の詳細はこちらのブログで説明されています。その後、組織内のメンバーアカウントのルートユーザーの長期的な認証情報（パスワードや長期的なアクセスキーを含む）を削除できます。これにより、運用の負担を軽減しながら、お客様のセキュリティポスチャを改善することができます。

Organizations 利用のお客様には、これらのメリットを体験していただくため、集中管理されたルートアクセス機能を今すぐ有効にすることを強くお勧めします。ただし、お客様が引き続きルートユーザーを維持する場合、高い権限を持つこれらの認証情報を適切に保護することが不可欠です。大規模運用をされているお客様へのサポート強化と、パスキーなどの追加機能により、AWS Organizations のメンバーアカウントに対する MFA 要件を拡大しています。2025 年春より、ルートアクセスの集中管理を有効にしていないお客様は、AWS マネジメントコンソールにアクセスするために、AWS Organizations のメンバーアカウントのルートユーザーに対して MFA を登録する必要があります。管理アカウントやスタンドアロンアカウントへの以前の適用拡大と同様に、この変更は段階的に展開され、対応が必要なお客様には事前に個別に通知を行い、日常業務への影響を最小限に抑えながら新しい要件に準拠できるようサポートします。

ルートアクセスを一元管理する新機能の詳細については IAM ユーザーガイドを、AWS での MFA の使用については IAM ユーザーガイドの AWS MFA をご参照ください。