developersIO
[アップデート] AWS Backup のマルチパーティ承認で論理エアギャップボールトに対する全てのアクションの承認時にワンタイムパスワード検証が必要になりました

[アップデート] AWS Backup のマルチパーティ承認で論理エアギャップボールトに対する全てのアクションの承認時にワンタイムパスワード検証が必要になりました

AWS OrganizationsAWS BackupAWS
2026.06.08

いわさです。

AWS Backup には論理エアギャップボールトという、論理的に隔離されたバックアップボールトがあります。
マルウェアやランサムウェアなどの攻撃からバックアップデータを保護するための仕組みで、さらにマルチパーティ承認という機能を使うことができます。
このマルチパーティ承認は AWS Organizations の機能で、IAM Identity Center ユーザーで構成された承認チームの投票によって、保護されたオペレーションを許可する仕組みです。

以前のアップデートで、マルチパーティ承認の一部のアクション(チームへの参加やチーム構成の変更など)に対して、承認時にワンタイムパスワード(OTP)の検証が必要になりました。

https://dev.classmethod.jp/articles/multi-party-approval-requires-one-time-password-verification-for-voting/

ただし前回検証した時点では、ボールトアクセスのリクエストや承認チームの変更など、OTP 検証が不要なオペレーションもありました。

これが少し前のアップデートで、論理エアギャップボールトに対するマルチパーティ承認アクションの全てで OTP 検証が必須になりました。

https://aws.amazon.com/about-aws/whats-new/2026/05/aws-backup-otp-multi-party-approval-lag

前回のアップデートと同じで承認者が投票する際に、IAM Identity Center に登録されたメールアドレスに送信される6桁のコードの入力が求められます。追加料金は不要で、セットアップも不要とのことなので、この仕様が強制適用されます。

OTP verification applies automatically to all existing and new Multi-party approval sessions for logically air-gapped vaults at no additional charge, with no setup required.

前回の記事でも対象のアクションが明記されていたわけではなかったのですが、アナウンスに「all existing and new Multi-party approval sessions」とあるので、論理エアギャップボールトに関するマルチパーティ承認で承認者が投票する際には、オペレーションの種類を問わず常に OTP が必要になったっぽいです。

今回こちらを確認してみたので紹介します。

実際に確認してみる

前回の記事では、ボールトアクセスのリクエスト承認や承認チームの変更については OTP なしで承認ボタンを押すことができました。
今回のアップデートで、これらのオペレーションでも OTP 検証が必要になっているはずなので確認してみます。

ボールトアクセスリクエストの承認

論理エアギャップボールトへのアクセスをリクエストし、承認者として投票してみます。

317EFB23-1B80-4D42-90C7-A70F5C050CFB.png

前回の検証ではこのオペレーションは OTP なしで承認できていましたが、どうかな。

73BCE554-E2E8-4C45-92CC-F9058DA65D9E_4_5005_c.jpeg

おっ、今回は OTP 検証のダイアログが表示されましたね。
「コードを送信」ボタンを押すと、IAM Identity Center に登録されたメールアドレスに6桁のコードが送信されます。

27005526-D3BC-4AC4-8337-479F447639B7.png

前回の記事では OTP なしでそのまま承認できていたオペレーションですが、今回は OTP 検証が必須になっていることが確認できました。

承認チームの変更

次に、論理エアギャップボールトに割り当てられている承認チームを別のチームに変更する操作についても確認してみます。
チームメンバー内の変更とかは OTP 検証必要でしたが、バックアップボールトの設定変更では検証が発生していなかったはず。

AWS Backup コンソールのボールト詳細画面から「承認チームの変更をリクエスト」を実行します。

FB0358B6-CBF7-493E-AD1B-96281DBB6AD3.png

リクエストを送信すると、現在のチームメンバーに承認リクエストが届きます。
承認ポータルから承認ボタンを押すと、こちらも OTP 検証のダイアログが表示されました。

A1BDB954-0210-4B5D-8532-6AD718D09C42.png

こちらも同様に OTP 検証が求められるようになっていますね。

さいごに

本日は AWS Backup のマルチパーティ承認で、論理エアギャップボールトに対する全てのアクションの承認時に OTP 検証が必須になったアップデートを確認してみました。

前回の検証ではボールトアクセスのリクエスト承認や承認チームの変更では OTP が不要だったので、今回のアップデートでカバー範囲が拡大された形ですね。
追加料金なし・セットアップ不要で自動的に適用されるので、既存のマルチパーティ承認環境を使っている場合は特に対応は不要ですが、承認フローの中でメール確認が必要になる点は承認者に周知しておくと良さそうです。マニュアルとか用意して運用している場合は反映も必要ですね。

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

[アップデート] AWS Backup の Logically Air-gapped Vaults で Multi-party Approval によるボールトの復旧がサポートされました
たかくに
2025.06.24
AWS が無料で配布する多要素認証 (MFA) セキュリティキーについて調べてみた
MN
2025.01.23
アクセスキーを悪用した AWS マネジメントコンソールへの不正アクセスの脅威とその対策についてまとめてみた
Shiina Yuichi
2025.03.04
[レポート] AWSセキュリティインシデント対応ワークショップ「The AWS Security Incident Response Challenge: Defend the Cake!」に参加しました!#AWSreInvent #SEC320
おつまみ
2025.12.02