[AWS]ハードウェアMFAって実際どうなの？2018[セキュリティを高めよう！]

コンニチハ、千葉です。

なんと手元にMFAデバイスが到着しました。

サードパーティプロバイダーの Gemalto が提供している、不正開封防止用ハードウェアのキーホルダータイプデバイスです。購入はこちら。 今回はキーホルダー型を選択しましたが、他にカード型もあります。

Googleで検索すると同期失敗時の対応が大変とか見ましたが、2018年現在実際どうなのよ？ってところのアンサーです。

はじめに

AWSのログイン時にMFA(多要素認証)を利用できます。 利用できるMFAの種類は、ハードウェアデバイス、仮想デバイス、SMSテキストメッセージ(プレビュー中)になります。 現在の選択肢として、ハードウェアデバイスまたは仮想デバイスの2択ですが、スマフォで利用できる仮想デバイスを利用している方が多いんじゃないかと思います。

で、ハードウェアデバイスにするモチベーションですが、個人所有のものをMFAデバイスとして利用するのどうなの？というのと、実はハードウェアMFAの方がよりセキュアになります。 理由としては、スマフォに比べ様々なプロセスも動いてないですし、ネットワークからも隔離されています。

CISベンチマークでは、rootアカウントのMFAはハードウェアデバイスを利用することを推奨しています。ただし、アカウントが複数あり、すべてハードウェアにしてしまうとデバイス管理の課題が出てきます。その場合は優先度が高いアカウントに対して適用してください。

気になるあれこれ

利用する上できになるあれこれについて調べました。

再同期ってどうやるの？

IAMユーザーの場合と、ルートユーザーの場合で手順が異なりますが、どちらもWebからの操作で再同期できます。電話で英語でやりとりしてみたいな記事を見かけましたが、現状はWebで完結するので再同期することになってもハードルは高くないです。

• IAMユーザーの再同期：マネージメントコンソールにログインする必要があります。別途ログインできるアカウントを用意しましょう。
• ルートユーザーの再同期：ルートユーザーはマネージメントコンソールにログインせずとも再同期ができます。もちろん、ログインしたあとでも再同期が可能です。

参考：https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_sync.html

デバイス紛失したらどうするの？

デバイス紛失したら、英語で電話必要だろうと思いますが、こちらもWebからデバイスのリセットができるようになってます。なんて便利なことでしょう。 なので、何かあった場合でも対策はすぐ取ることができます。

参考：https://dev.classmethod.jp/cloud/aws/reset-lost-mfa/

1つのデバイスで複数アカウントを管理できる？

1つのデバイスで複数のユーザーのMFAを登録しようとすると「MFA Device is already in use.」とエラーになり登録できませんでした。 つまり、1デバイスでは1ユーザーしか登録できませんでした。アカウントが増えるとMFAデバイスも増えます。そのため、セキュリティを高くする必要があるアカウントに優先的に適用しましょう。

やってみた

ハードウェアMFAをルートアカウント、IAMユーザーそれぞれに適用してみました。

ルートアカウント

ルートアカウントにハードウェアMFAを登録します。 上部のメニューから「セキュリティ認証情報」を選択します

MFAの有効化を選択し、ハードウェアMFAデバイスを選択します。

MFAデバイスの裏にシリアル番号が記載されているので入力します。また、MFAデバイスのディスプレイに表示される6桁の数字を2パターン入力します。

関連付けできました！

IAM

今度はIAMユーザーにハードウェアMFAを登録します。 IAMユーザーの画面で対象のユーザーを選択します。認証情報から、「MFA デバイスの割り当て」の鉛筆マークをクリックします。

ハードウェアMFAデバイスを選択します。

それぞれ入力します。

関連付けできました！

まとめ

ということで、再同期やデバイス紛失時はWebのみで対応できます。電話で英語でやりとりしなくても対応できます。敷居もだいぶ低いので、是非導入しましょう。 2018の最新事情は以上です ヽ(´▽｀)ノ♪

参考

• https://aws.amazon.com/jp/iam/details/mfa/