AWSでMFA（二段階認証）を活用し、セキュリティを高める方法

AWSとは？

AWSとは、Amazonが提供するクラウドコンピューティングサービスで、Amazon Web Servicesの略です。提供しているサービスは、100以上あります。

例えば、サーバーを構築・利用できるAWS EC2（Amazon Elastic Compute Cloud）やデータを保存できるS3（Amazon Simple Storage Service）、データベースが利用できるRDS（Amazon Relational Database Service）が代表的なサービスです。

他にもAIが利用できるAmazon Personalizeやメールを送れるメールサーバーAWS SES（Amazon Simple Email Service）などがあります。

MFAとは？

MFAとはMulti-Factor Authenticationの略で、日本だと、2段階認証や多要素認証という言葉で利用されています。

認証でよく利用されているのは、パスワード認証です。パスワード認証とは、何かシステムにアクセスする際に、特定のパスワードを入力することで、アクセスする許可が得られる認証です。

しかしながらパスワード認証だと、パスワード流出による不正ログインやパスワードを知っている人によるなりすましなど、セキュリティリスクが高くなってしまいます。

また、パスワード認証のセキュリティを強化しようと、複雑なパスワードを求めたり、定期的なパスワードの変更を求めることで、パスワードが覚えられなくなり、メモに書いてしまうなど、逆にセキュリティリスクが高くなってしまう可能性もあります。

パスワード認証のみといった、1つの認証だけだとセキュリティ対策として不十分であり、万全であるとは言えません。そこでMFAといった多重認証という仕組みを取り入れることで、セキュリティの強化を実現します。

AWSでMFAを導入する

AWSでMFA（Multi-Factor Authentication）を導入する手順について紹介します。AWSアカウントをすでに持っているという前提で進めますので、まだAWSアカウントを持っていない人は、まずはアカウント作成をお願いします。

MFA用のアプリをインストール

AWSでMFA（Multi-Factor Authentication）を導入するために、Google Authenticatorまたは、Microsoft Authenticatorをインストールします。

Google Authenticatorを利用する場合、iPhoneはApp StoreよりGoogle Authenticatorと検索し、Google Authenticatorアプリをインストールしてください。Androidは、Google PlayよりGoogle Authenticatorと検索し、Google Authenticatorアプリをインストールしてください。

Microsoft Authenticatorを利用する場合、iPhoneはApp StoreよりMicrosoft Authenticatorと検索し、Microsoft Authenticatorアプリをインストールしてください。Androidは、Google PlayよりMicrosoft Authenticatorと検索し、Microsoft Authenticatorアプリをインストールしてください。

以上でMFA用のアプリのインストールは完了です。

AWSでMFAを設定する画面を開く

AWSでGoogle AuthenticatorアプリまたはMicrosoft Authenticatorアプリを利用して、MFAの設定を行っていきます。

まずはAWSにログインしましょう。AWSマネジメントコンソールのURL（https://aws.amazon.com/jp/console/）にアクセスし、ログインします。

ログインができたら、AWS マネジメントコンソールという画面が開きますので、右上のユーザー名をクリックし、マイセキュリティ資格情報をクリックします。セキュリティ認証情報という画面が開かれることを確認してください。

セキュリティ認証情報画面の中央に、多要素認証（MFA）というボタンがありますので、多要素認証（MFA）をクリックしてください。

クリックすると「MFA を使用して、AWS 環境のセキュリティを強化します。MFA で保護されたアカウントへのサインイン時には、ユーザー名とパスワード、および MFA デバイスからの認証コードを求められます。」という文章が表示されます。

MFAの有効化というボタンが表示されることを確認してください。

AWSとAuthenticatorアプリを連携する

AWSとAuthenticatorアプリの連携を進めていきます。セキュリティ認証情報画面でMFAの有効化ボタンをクリックします。MFAデバイスの管理というモーダルが開かれることを確認してください。

MFAデバイスの管理では、割り当てるMFAデバイスのタイプを選択する必要があるため、仮想MFAデバイス（モバイルデバイスまたはコンピュータにインストールされた Authenticator アプリケーション）、U2Fセキュリティキー（YubiKey やその他の準拠 U2F デバイス）、その他のハードウェアMFA デバイス（Gemalto トークン）のうち、仮想MFAデバイスを選択し、続行ボタンをクリックします。

仮想MFAデバイスの設定という画面が開かれることを確認してください。

互換性のあるアプリケーションをモバイルデバイスまたはコンピュータにインストールについては、すでに実施済みのGoogle AuthenticatorアプリまたはMicrosoft Authenticatorアプリのインストールについてのため、スキップします。

QRコードの表示をクリックすると、QRコードが表示されます。Google AuthenticatorアプリまたはMicrosoft Authenticatorアプリを起動して、表示されたQRコードを読み取ります。

正常に登録された場合、Amazon Web Servicesとして6桁の数字が表示されます。この6桁の数字は認証コードと呼ばれ、今後ログインする際に利用することになります。

AWSにAuthenticatorアプリを登録する

Authenticatorアプリの設定が完了し、次はAWS側を設定します。仮想MFAデバイスの設定画面では、仮想MFAアプリとデバイスのカメラを使用してQRコードをスキャンします、まで完了しました。

最後の、連続する2つのMFAコードを以下に入力では、先程使用した、Authenticatorアプリで表示される認証コードを入力します。認証コード1では、現在表示されている認証コードを設定します。認証コード2では、認証コード1の後に新しく表示される認証コードを入力します。

認証コード1、認証コード2の入力が完了したら、右下のMFAの割り当てをクリックします。正常に登録が完了すると、仮想MFAデバイスが追加されます。

以上で、AWSのMFAの設定は完了です。

AWSにログインしてみよう

AWSへログインをして、MFAが正常に登録されているかを確認します。AWSへアクセスし、ログインIDとパスワードを入力してください。その後、認証コードを入力する画面に移動します。

Google AuthenticatorアプリまたはMicrosoft Authenticatorアプリを起動し、表示されている認証コードを入力してサインインをしてください。これで無事にログインできれば、MFAの設定は完了です。

AWSにMFAを導入しよう！

AWSにMFAを導入する手順について紹介してきました。アプリを入れて設定を追加するだけでMFAを導入することができたので、かなり簡単だったのではないでしょうか。ぜひセキュリティを高めるためにもMFAは導入しましょう。