AWSが多要素認証の導入に“本気” GoogleとMicrosoftはどうする？：Cybersecurity Dive

AWSは最高権限を持つユーザーに対して、2024年半ばから多要素認証（MFA）の使用を義務付ける予定だ。MFAはクラウドセキュリティの中核をなす対策であり、有効化が推奨されている。

[Matt Kapko，Cybersecurity Dive]

　Amazon Web Services（AWS）は最高権限を持つユーザーに対して、2024年半ばから多要素認証（MFA）の使用を義務付けると発表した。将来的にはさらに多くのアカウントタイプに対して同義務を課していく。AWSはこの動きによって、ハイパースケーラーの中で初めて、MFAの基本的な制御をデフォルトで導入することになる。

　AmazonのCSO（最高戦略責任者）のスティーブ・シュミット氏は2023年10月3日（現地時間、以下同）のブログ投稿で「AWSは、顧客のデフォルトのセキュリティ体制をさらに強化するため、アカウント内の最も高い権限を持つユーザーからMFAの使用を義務付ける」と述べた（注1）。

　「2024年半ばから、管理アカウントのrootユーザーであり、AWSの管理コンソールにサインインする顧客は手続きを進めるためにMFAを有効にする必要がある。rootユーザーはアカウント内の全てのサービスとリソースに対する完全なアクセス権を持っているからだ」（シュミット氏）

AWSの発表にGoogleとMicrosoftはどう動いているか

　AWSとMicrosoft、Googleは、管理者が特定のユーザーに対してMFAを必須とする設定を許可している。この認証メカニズムは既に基本的なサイバーセキュリティの手法と見なされているが、これまでデフォルトで必要とされていなかった。これらの3つのハイパースケーラーは顧客に対してMFAの使用を強く推奨している。

　連邦サイバー当局はテクノロジー製品やサービスのセキュリティに関する責任をメーカーやベンダーに移そうとしている（注2）。「セキュア・バイ・デザイン」および「セキュア・バイ・デフォルト」の取り組みにおいて、クラウドプロバイダーは中心的な役割を果たす。

　全ての特権ユーザーに対するMFAの義務化は、米国と他の6カ国のサイバー当局が推奨するセキュア・バイ・デフォルトの戦術の1つである（注3）。

　Forresterの主席アナリストであるリー・サスター氏は「パブリッククラウドの責任共有モデルにおいて高いセキュリティを実現できるかどうかは、クラウドリソースに対するアクセスにMFAを要求するかどうかに掛かっている」と話す。

　サスター氏によると、これまでMFAの利用は顧客の判断に委ねられてきたが、義務化に踏み切ったAWSは「MFAをクラウドセキュリティの中核に据えることが、自社と顧客の双方にとって最善の利益になる」と判断した。

　デフォルトのセキュリティコントロールを改善するためにAWSと競い合う他社は、このニュースに対してさまざまな反応を示した。

　Googleは2023年の終わりまでに一部のアカウントに対してMFAを義務付けると発表し、AWSの計画に先行した。

　Googleの広報担当者は「Cybersecurity Dive」に対して、「2023年の後半から段階的に当社のリセラーおよび大規模な企業顧客の管理者アカウントに対して、セキュリティを強化するために二段階認証の追加を義務付ける。私たちは常に顧客とユーザーのセキュリティを評価しており、リスクのレベルに基づいてポリシーを調整し続ける」と語った。

　Googleは2021年末から一般消費者に対して二段階認証の使用を義務付けたが、企業のクラウド利用者に対するこのような義務付けは今回が初めてだ。

　Microsoftはまだ方針を変更していないようだ。「Microsoftは商用顧客に対してMFAを義務付けていない」と同社の広報担当者はCybersecurity Diveに対して語った。

　「ただし過去2年間、私たちは『Azure Active Directory』の新規顧客（無料顧客を含む）のセキュリティデフォルトを有効にしている。最近では、MFAを有効にしていない顧客や条件付きアクセスポリシーを導入していない顧客に対してセキュリティデフォルトを適用し始めた」ともMicrosoftの広報担当者は述べている。

AWSはサイバーリスクの責任に関する負担を引き受けた

　Amazon Securityのディレクターであるマーク・ライランド氏は「クラウドプロバイダーは顧客にMFAを有効にするための十分な時間とリソースを提供するために、今からこの動きを発表したのだろう」と述べた。

　「AWSの顧客はこれまでもrootユーザーのMFAを有効化できたが、これまではMFAの適用は任意だった。変化があったのは、AWSコンソールへのアクセスにおいて、最も高い権限を持つユーザーからMFAの適用を義務付ける点だ」（ライランド氏）

　ID認証に対するフィッシング攻撃の頻発は、MFAによる防御が、洗練されていない手口からでも崩される可能性があることを示しているが（注4）、AWSはフィッシング耐性のあるバージョンだけでなく（注5）、多くの形式のMFAをサポートしている。

　「私たちはセキュリティキーのようなフィッシング攻撃に強いMFAを強く推奨しているが、どのような形式のMFAであっても、何もしないよりはましであり、現在パスワードのみの認証を使っている全てのユーザーに、何らかの形式でMFAを採用することを推奨している」とライランド氏は述べた。

　AWSは2024年に、この義務付けをスタンドアロンのアカウントなどにも拡大する予定だ。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）でサイバーセキュリティを担当するエグゼクティブ・アシスタントディレクターのエリック・ゴールドスタイン氏は「MFAの要求によって、顧客のデフォルトのセキュリティ体制を強化するというAWSの発表にCISAは大きな喜びを感じている。MFAは重要なセキュリティ機能だ。より良いサイバーハイジーンを実践するために、全てのユーザーにMFAの実装を推奨する」と述べる。

　「CISAは技術メーカーと協力して、セキュア・バイ・デザインに基づく開発を奨励し、サイバーリスクの責任に関する負担をユーザーから企業やメーカーに移している。MFAの要求は、企業が責任の負担を引き受けた一つの例だ」（ゴールドスタイン氏）

（注1）Secure by Design: AWS to enhance MFA requirements in 2024（aws）
（注2）CISA, partner agencies unveil secure by design principles in historic shift of software security（Cybersecurity Dive）
（注3）Explore the core tactics of secure by design and default（Cybersecurity Dive）
（注4）Multifactor authentication is not all it’s cracked up to be（Cybersecurity Dive）
（注5）What is phishing-resistant multifactor authentication? It’s complicated.（Cybersecurity Dive）