これまでは、AWS Multi-Factor Authentication (MFA)によりハードウェアの多要素認証デバイスを利用し、AWSアカウント(子アカウントを利用できるIAMもサポート)に、多要素認証を加えることができました。これを用いることで、Webコンソール(AWS Management Console)やAWSポータルにログインする際に、アカウント名と通常のパスワードに加えて多要素認証デバイスで発生されるMFA認証コードの入力を必須にすることができ、セキュリティを高めることが出来ました。MFAデバイスの日本からの購入についてはこちらを参照ください(私もじつは一つ持っています。送料込で約25$でした)。
このこれまでのハードウェア多要素認証デバイスは、多くの企業、特に金融系の起業で利用されており、ITセキュリティポリシーによってハードウェア多要素認証デバイスが求められている場合には最適な選択肢でした。
今回の発表により、上記のハードウェアベースのものに加えて、バーチャル多要素認証デバイスも利用できるようになりました。スマートフォンやタブレットでも、MFA認証コードを発行することが可能となります。MFA認証コードを発行するアプリとして、AWSからもAWS Virtual MFA Android appを提供します。また、RFC 6238としてIETFギークの間で知られているOATH TOTP (Time-based One-Time Password)プロトコルをサポートしたアプリケーションであれば何でも利用することができます。
利便性、柔軟性、経済性を求めるならばバーチャル多要素認証デバイスを、実績十分のハードウェアMFAデバイスを求めるのであればそちらを、といったように、場合に応じて使い分けて頂けます。
さて、実際に利用する手順を紹介したいと思います。まずは、Amazon Appstore for Android、もしくは、Google's Android Marketから、AWS Virtual MFA applicationをダウンロードします(WindowsやBlackberry対応のものはこちらのリストから)。このアプリケーションをダウンロードしたのちに、AWS Management Consoleにログインして事前準備完了です。
AWS Management ConsoleのIAMのDashboardの中でAWS Account Credentialsのセクションがあります。こちらから、AWSアカウントに紐付けてMFAを管理を開始します。
Clik here to view.
IAMを用いて子ユーザーを利用している場合は、そのユーザーを選択し、Security Credentialsタブの中に、そのボタンがあります。
Clik here to view.
"Manage MFA Device"ボタンをクリックすると、バーチャルMFAかハードウェアMFAか選択できます。
Clik here to view.
バーチャル多要素認証デバイスを選んだ場合は、それに対応したアプリケーションを事前にどこかに(スマートフォン、PC)にインストールしておく必要があります。
Clik here to view.
利用するスマートフォンなどのデバイスが、QRコードを取り込めるのであれば、 カメラを用いることで簡単にバーチャル多要素認証デバイスの設定ができます(QRコードが利用できない場合は、secret keyの表示を選んで、それを手入力することになります)。
Clik here to view.
上記画面で、"Click here to enable your devaice"をクリックして、MFA認証コードを続けて入力します(デバイス上でボタンを押して表示されているMFA認証コードを#1に、そしてさらにボタンを押して、次の認証コードを#2に入力します)。
Clik here to view.
これで終了です。次からは、Webコンソール(AWS Management Console)やAWSポータルにログインする際に、バーチャル多要素認証デバイスが発行するMFA認証コードの入力が必要となります。
Clik here to view.
早速、試してみてください!ちなみに、横田あかりさんが、早速、Google Authenticatorを用いて、テストされていましたので紹介させて頂きます。ありがとうございます!皆さんもご利用になられたら、ブログ等で是非お知らせください(Twitterの場合は、#jawsgでつぶやいてください)。
玉川憲 (@KenTamagawa)
