IAMのセキュリティ対策について解説！MFA（多要素認証）でセキュリティを強化しよう

IAMのダッシュボードではセキュリティ対策が必要です。

今回紹介するMFAは、二要素認証になります。

二要素認証とは、ログインなどの認証の他に組み合わせて利用する認証のことです。
プラスアルファで認証を行うイメージです。

つまり、二要素認証にすればそれだけセキュリティも上がりますし、仮にパスワードが漏えいしても安心できるというわけです。

AWSは料金がかかってしまうので、必ず不正ログインはさせないようにするべきだと思います。

今回はAWSのセキュリティ設定の方法を解説していきます。

①ルートユーザーのMFA設定

MFAとは下記になります。

多要素認証（MFA）は、アプリケーション、オンラインアカウント、VPNなどのリソースへのアクセスを許可する前に、ユーザに2つ以上の認証要素の提供を求める認証方法です。MFAは、強力なIDおよびアクセス管理（IAM）ポリシーのコアコンポーネントです。MFAは、ユーザ名とパスワードだけでなく、1つ以上の追加の検証要素を要求します。これにより、サイバー攻撃が成功する可能性を小さくできます。

https://www.onelogin.com/jp-ja/learn/what-is-mfa

現在、AWSへログインする際にメールアドレスとパスワードを入力していると思います。

しかし、ルートユーザーという強力なユーザーへのログインが、メールアドレスとパスワードだけではセキュリティ面で不安です。

そのため、ルートユーザーにはMFAというもう一つセキュリティ要素を追加します。

スマートフォンを使用しての認証

AWSへのログインを『メールアドレス＋パスワード』にプラスして、スマートフォンでの認証も追加します。

まずはスマートフォンにMFA認証のアプリをインストールします。
（私はGoogle Authenticatorを使用しています。）

・IOS
https://apps.apple.com/jp/app/google-authenticator/id388497605

・Android
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ja&gl=US

インストールが終わりましたら、次にAWS側でセキュリティ認証情報の設定を行います。

1.　AWSへログイン後、アカウント名の▼をクリックし、「セキュリティ認証情報」を押下します。

2.　下の方にスクロールすると、多要素認証（MFA）とあるので、そこの「MFAデバイスの割り当て」を押下します。

3.　デバイス名は任意のものを入力いただき、MFA deviceは「Authenticator app」を選択し、「次へ」を押下します。
（デバイス名に日本語は入力できません。下記はサンプルなのでご注意を！）

4.　「QRコードを表示」を押下いただき、スマートフォンでインストールした認証アプリでQRコードを読み取って、MFAコードを入力。「MFA追加」を押下すると完了です。
（QRコードを認証アプリで読み取ったあと、最初に表示された数字を「MFAコード１」に、次に表示された数字を「MFAコード２」に入力します。）

以上で多要素認証の設定は完了です。

設定以降はログインするごとに番号での認証を求められるので、スマートフォンの認証アプリを開いて数字を入力してください。

②IAMユーザーの作成

日々、AWSで作業を行うのにルートユーザーは必要ありません。

ルートユーザーは権限があり、また危険でもあるユーザーなので、IAMユーザーを作成します。

IAMユーザーは作業を行うユーザーと捉えていただければと思います。

IAMユーザーも管理コンソールから作成します。

1.　管理コンソールの左上の「サービス」から「IAMダッシュボード」を開きます。

2.　アクセス管理の「ユーザー」を選択し、「ユーザーの作成」を押下します。

3.　以下を設定します。

・ユーザー名：任意のユーザー名
・コンソールへのアクセス許可：「IAMユーザーを作成します」を選択
・コンソールパスワード：カスタムパスワードを設定

4.　新たにグループを作成します。

5.　任意のグループ名を入力し、今回は一番上の権限を与えます。

6.　作成してグループにユーザーを入れます。

7.　確認して「ユーザーの作成」を押下します。

以上がユーザーとグループの作成です。

MFAの重要性

MFAを設定しておけば、仮にAWSのパスワードが流出してしまったとしても、不正ログインを防ぐことが可能です。

AWSのパスワードが流出することはないと安心はできません。

なぜなら、AWSで使っている同じパスワードを別のサイトで使用していて、そのサイトから流出してしまうと簡単に不正ログインできてしまうからです。

もちろん強固なパスワードを設定することは基本中の基本ですが、それでも漏えいする時はしてしまいます。

一つのパスワードを強固に設定するよりも、多要素での認証を行う方がセキュリティが高いと言えるでしょう。

多要素認証は面倒？

確かに日々AWSを利用していると、ログインごとにいちいちスマホを開かなくてはなりません。

これはとても面倒に感じますね。

昔よりも今の方がセキュリティについては厳しいです。

さらに面倒なことも増えています。

ですが、その面倒なこと一つで大切な情報や資産が守れるのです。

面倒ごとに感じてしまいがちですが、ここは我慢して多要素認証を行うべきだと思います。

AWSにおける多要素認証の必要性

ここまでMFA（多要素認証）の必要性を訴えてきました。

これはAWSでの不正ログインは致命的なダメージを受けるからです。

AWSでは使った分だけ料金が加算される従量課金制です。

不正ログインされるとどうなるでしょうか？

悪意のある攻撃者が勝手にリソースを使いまくって多額の請求を発生させるかもしれません。

また、企業で運営していた場合は取引先から信頼性を失うこととなります。

個人にしても、法人で運用するにしても不正ログインをされることで多大なるダメージを受けることが分るでしょう。

これは一部の人間のセキュリティ意識だけでは解決できません。

法人またはグループで利用するなら、メンバー全員にセキュリティ意識を高く持つことを徹底しないといけません。

AWSを利用する際は、まずセキュリティについてをきっちりと勉強しなくてはならないです。

気を付けて運用していきましょう。

まとめ

可能ならば先ほど作成したIAMユーザーにもMFAを設定しておきましょう。

ルートユーザーで設定した端末でも設定は可能です。

二要素認証は今では必須級のセキュリティ対策になります。

もしかりに、パスワードを知られてしまっても、もう一つの認証で通らなければ不正ログインはできないため、非常におすすめのセキュリティ対策です。

AWSのような、利用するごとに料金が加算されていくシステムはセキュリティ対策が非常に重要になります。

損をするのは自分自身です。

面倒ですが、セキュリティ対策をするに越したことはありません。

参考文献

関連記事

↓↓↓次回の記事です。

↓↓↓前回の記事です。