AWSマネジメントコンソールの多要素認証(MFA)にYubikeyを利用する

こんにちは、SCSKの木澤です。

皆さん、AWSマネジメントコンソールへのログインには、多要素認証(MFA)を利用しているでしょうか。
Google AuthenticatorやMicrosoft Authenticatorなど、スマートフォンのアプリケーションを用いてワンタイムパスワードを入力していることが多いかと思いますが、AWSマネジメントコンソールへのログインにおいてはFIDO U2F認証規格に対応したハードウェア認証デバイスにも対応しております。

SCSKでは今年よりFIDO U2F規格に対応したハードウェアキー「Yubikey」の取り扱いを開始致しました

Yubico社 YubiKey
Yubico社の提供するYubikeyをコンピュータに差し込み、タッチするだけで、強力な二要素認証、多要素認証、パスワードレス認証を実現します。

そこで今回はYubikeyの使い方などを簡単に解説したいと思います。

Yubikeyについて

FIDO U2F規格の概要

FIDO(ファイド)規格は、業界団体であるFIDO Allianceによって策定された次世代認証規格です。
FIDOは「Fast IDentity Online」(素早いオンライン認証)の略ということもあり、パスワードに代わる認証方式として普及が期待されています。

FIDO U2F規格は Universal 2nd Factor(汎用的な第2要素)の略であり、ID・パスワード認証を補完する意味でセキュリティキーを用いたMFA認証を行う標準規格となります。セキュリティキーにはUSBキーやNFC等が利用できますが、ハードウェアデバイスを認証キーとして用いるため、よりセキュアな認証を簡便に行うことができることが特徴となっています。

FIDO (認証技術) - Wikipedia
仕様概要 - FIDO Alliance
FIDO Allianceは、シンプルで堅牢な認証のための3

Yubikey 5 NFC

今回利用したのは現在最も一般的と思われる、Yubikey 5 NFCのデバイス。
USB及びNFCによる接続に対応しています。

AWSマネジメントコンソールでの利用方法

設定方法

AWSコンソールでの利用においては、以下の方法で利用できるようになります。
なお、本手順はGoogle Chromeブラウザにて行っております。

以下画面はIAMユーザーで設定する場合のものですが、rootユーザーでも利用は可能です

まず、アカウントメニューから「マイセキュリティ資格情報」を選択します。

AWS IAM認証情報が表示されます。
ここで 多要素認証(MFA)内の、MFAデバイスの割り当てを選択します。

MFAデバイスの種類について問い合わせがありますので、U2Fセキュリティキーを選択します。

セキュリティキーのセットアップについてダイアログで確認画面が表示されますが、そのままOKを押し進めます。

USBキーを挿入するように促されますので、USBポートに差し込みます。

差し込むと表示が変わります。
またYuibikey中央の金属部分「y」が点滅しますので、そこをタッチします。

以上でセットアップが完了しました。
非常に簡単ですね。

MFAデバイスとして登録されたことを確認しましょう。

AWSにおいては、TOTPのスマホアプリ(Google Authenticator等)との併用はできません。
利用中の場合は一旦削除した後に、セキュリティキーを登録する必要があります

利用方法

利用は至って簡単です。
ID・パスワードで認証を行うと、追加認証を求められる表示が出ます。

セキュリティキーにタッチするように求められますので、Yubikeyの金属部分をタッチします。

以上でログイン完了です。簡単ですね。

他サービス・アプリケーションでの認証

さて、このセキュリティキーは複数AWSアカウント(IAMアカウント)、他サービスとの共用は可能なのでしょうか。
結論から言えば、可能でした

今回は同一のセキュリティキーにて、Google CloudとWordPress管理画面のMFA認証に設定してみました。

共用する際は当然ですが、ハードウェアキーを盗難・紛失した際のリスクが大きくなることを留意する必要があります。

Google Cloudの場合

Google Cloudの場合は、Googleアカウントの2段階認証方式としてセキュリティキーを設定することで対応できます。

WordPress管理画面 (Two-Factorプラグイン)

WordPress管理画面へのログイン方法としてMFAを採用する場合はTwo-Factorプラグインがよく用いられますが、こちらでもYubikeyの利用が可能です。

まず、プロフィール画面のセキュリティキーの項目にて、「新しいキーを登録」をクリックします。

セキュリティキーをタッチすると、新しいセキュリティキーとして登録されました。

最後に、Two-Factor設定においてFIDO U2F秘密鍵を有効にし、メインの認証方式を選択します。

WordPressにおいては複数方式のMFAを併用できます。
複数方式を有効にしておくことで認証方式を切り替えて利用することが可能です。

まとめ

Yubikeyを利用したMFA認証方式に切り替えることにより、従来の認証よりもセキュアに、また簡便に認証を行うことができます。
また、スマートフォンが利用できない環境下での認証でも有用かと思います。

なお、私においては各種MFAのIDが増え、TOTP方式のスマートフォンアプリ(Google AuthenticatorやMicrosoft Authenticatorなど)では管理が困難になりつつあると感じておりましたが、Yubikeyにまとめることで便利に利用できそうです。
ハードウェアキーを盗難・紛失した際のリスクが大きくなることを留意しつつ、使っていきたいと思います。

最後に、Yubikeyについてのお問い合わせは、以下URLよりSCSKの営業窓口にご連絡ください
よろしくお願いします。

お問い合わせ 製品・サービスについて 入力 | SCSK株式会社
SCSK株式会社 製品・サービスについてご意見・ご質問をお受けしております。
著者について
木澤 朋隆

SCSKにてクラウドのプリセールス・プロモーションや社内の開発者支援を担当しています。
資格:AWS認定7冠・情報処理安全確保支援士・テクニカルスペシャリスト(NW)等
2021 APN Ambassadors

木澤 朋隆をフォローする
AWSその他
TechHarmony
タイトルとURLをコピーしました