MFAを知っていますか?
MFAとは、Multi-Factor-Authenticationの略で、2つ以上の認証要素の提供を求める認証方式のことです。
認証要素ってどんなものがあるのでしょうか。
認証要素の種類は大きく3種類です。
1.バイオメトリクスによる認証
⇒指紋認証や静脈認証、虹彩認証等が該当します。
2.所有物による認証
⇒印鑑証明やICカードによる認証、ディジタル証明書等が該当します。
3.記憶や秘密による認証
⇒パスワードや暗証番号、生年月日等が該当します。
これらの認証要素から2つ以上の提供を利用して認証を行うのがMFA、つまり多要素認証でしたね。
AWSでのMFAデバイスを利用している気になった話
AWSにもMFAを利用する機能がありますよね。
先日、rootアカウントに紐づけているMFAデバイスを複数台用意するという記事をみかけました。
実際にはどういった運用がベストプラクティスになるのだろうかと迷ってしまいましたので、ご紹介します。
問題となるやり口
AWSでは、仮想MFAデバイスというMFA認証を実施するための機能を用いることができます。
その機能を利用するのですが、やり口は以下の通り。
1.MFAを利用する際に発行するQRコードをスクショしておく。
2.スクショしたQRコードを複数のデバイスで読み取り、仮想MFAデバイスとして機能させる。
初めの感想
驚いてしまいましたね。。。
本来、rootアカウントは利用せずAMIを利用する。そして、アカウントとデバイスは1:1にする。
これが原則だと考えます。
しかし、AWS上では実際に上記の手順で複数のデバイスを用意することができてしまう。
しかも、この手口はだいぶ前から公開されている手口のようです。
セキュリティと運用性はトレードオフだとはよく言ったもんですが、こんな実態があるとは。。。
みなさん、、、
巷の皆様は、どういったMFAの管理方法を実施しているのでしょうか???
とても気になるところです。
自分もまだまだ調べてみます。
ということで以上となります。長々とすみませんでした笑