しばたです。
先週AWSより以下のアナウンスがあり秘密の質問(security challenge questions)の廃止が通知されました。
秘密の質問?
私はこれまで使った事が無いのですが、AWSアカウントでは本人確認のために秘密の質問を設定することが可能です。
秘密の質問は何らかの理由でマネジメントコンソールにログイン不能になった際にサポートとのやり取りの中で使われます。
- 参考
AWSマネジメントコンソールの右上にあるメニューから「アカウント」を選び、画面遷移後のアカウント情報で設定内容を確認することが可能です。
(ブログ掲載用に適当な質問を選んだ一例)
すでに廃止予定のメッセージが追加されていることが見て取れます。
廃止スケジュール
先述のアナウンスにあるとおり廃止まで次のスケジュールとなっています。
- 2024年1月6日以降、秘密の質問を未設定のアカウントは新たに設定することが不可能に
- 2025年1月5日をもって全アカウントで秘密の質問を廃止
本日時点で秘密の質問を設定していなかったアカウントは下図の様に変更不能になっています。
(これまで未設定のアカウントの場合、秘密の質問の新規設定は不可)
推奨される対応
秘密の質問は以前からその安全性が疑われている方式であり直接代替される機能はありません。
AWSとしては多要素認証(MFA)を有効にしてアカウント保護を強化することを推奨しています。
補足1 : AWS問い合わせ先
マネジメントコンソールにアクセス出来ない場合の問い合わせ先は以下のリンクに記載されています。
リンク先の「ログイン・アクセスに関するお問い合わせ」にあるリンクから必要な内容を確認し問い合わせる様にしてください。
補足2 : MFAデバイス故障時の対応
MFAデバイスの故障などによりマネジメントコンソールにログインできなくなった場合、所定の前提条件を満たしていればセルフサービスで復旧可能です。
細かい内容と手順については以下のドキュメントとAWSブログを参照してください。
なお、前提条件を満たせない場合はサポートに問い合わせる必要があるのでご留意ください。
最後に
以上となります。
私個人としては「ITにおける秘密の質問は最早それ自体が脆弱性である。撲滅すべし。」と強めの思想 *1を持っているのでこの対応は非常に喜ばしいです。
MFAを有効にしていない場合はできるだけ早く有効にしてこの廃止に備えると良いでしょう。
脚注
- あくまでわたし個人の思想です。異論は認めます。 ↩
0
