AWSセキュリティの専門家が、強固な多層防御の構築方法から、導入必須の主要サービス、そしてエンタープライズに不可欠なマルチアカウント戦略まで、実践的なベストプラクティスを分かりやすく解説します。
AWSにおける多要素認証(MFA)とは?設定方法や認証できないときの対応
企業を狙ったサイバー攻撃のリスクが高まるともに、より重要になっているのが知識情報、所持情報、知識情報を組み合わせて認証する「多要素認証」です。それはアマゾン ウェブ サービス(AWS)などのクラウドサービスにとっても例外ではありません。そこで今回は、AWSにおける多要素認証の基本的な知識と設定方法について解説します。
この記事でわかること
- AWSをはじめとするクラウドサービスの台頭で、企業はスピーディーかつ柔軟にシステム運用を行うことが可能になったが、セキュリティリスクも増加している
- AWSでは、ログインやサーバーへログインする際に複数要素による多要素認証(MFA)を提供している
- AWSでの多要素認証(MFA)の設定方法
※当記事は2025年6月に書かれたものであり、以後に展開された最新情報が含まれていない可能性がございます。
目次 [表示]
AWSにおける多要素認証(MFA)
AWSをはじめとするクラウドサービスの台頭で、企業はスピーディーかつ柔軟にシステム運用を行うことが可能になりました。それに伴いセキュリティリスクも増加しており、その対策として多要素認証(MFA)の導入が推奨されています。ここでは、AWSにおける多要素認証について詳しく解説します。
多要素認証(MFA)とは
多要素認証(MFA:Multi-Factor Authentication)とは、アカウントのログインやサーバーへログインする際に複数要素による認証を要求する仕組みです。ユーザーが管理しているパスワードとスマートフォンで指紋や顔認証などを組み合わせて認証を行う方法が代表的です。他にも、PINコードや秘密の質問、SMS認証の組み合わせがあります。
AWSでは通常のIDとパスワード認証に加えて、スマートフォンの認証アプリケーション(TOTP:Time-based One-Time Password)や、ハードウェアデバイスによるセキュリティキー(FIDO規格対応)を使用します。これにより、アカウントが不正利用されるリスクを大幅に低減でき、セキュリティ向上が可能です。
AWSのIAM(Identity and Access Management)において、多要素認証はルートユーザーを含めたすべてのアカウントに設定可能です。詳細はこちらをご参照ください。
AWSにおけるアクセス制御の基礎知識|AWS IAMの概要や主な機能
多要素認証(MFA)が求められる背景
クラウドサービスの利用増加に伴い、アカウント情報の流出や不正アクセスによる乗っ取り被害が深刻化しています。フィッシング攻撃やパスワードリスト攻撃などの詐欺の手口も巧妙化しており、従来のIDパスワードのみの認証方法では、不正な攻撃から十分に保護することが困難になっています。そのため、AWSリソースへの不正アクセスを防止に貢献する多要素認証(MFA)は非常に重要です。こうした背景から、AWSを利用する企業は多要素認証(MFA)の導入を進め、セキュリティ強化を行っています。
AWSのIAMユーザー多要素認証(MFA)の設定方法
では、AWSのIAMユーザーの多要素認証(MFA)はどのように設定できるのでしょうか。
ここでは、GoogleAuthenticatorを利用した多要素認証(MFA)の設定方法を各ステップで解説します。
STEP1:IAMユーザーにログイン
まず、多要素認証を設定したいIAMユーザーでAWS Management コンソールにログインします。
STEP2:セキュリティ認証情報を選択
ログイン後、画面の右上に先ほどログインしたIAMユーザーのIDをクリックします。
「セキュリティ認証情報」のリンクをクリックすると、IAM画面に遷移します。
STEP3:MFAを割り当てる
「多要素認証(MFA)」セクションから「MFAの割り当て」を選択します。
この時、警告メッセージで「MFAが割り当てられていません」と表示されることがあります。
STEP4:MFAデバイスを選択
多要素認証(MFA)情報を送るデバイスの設定を行います。
デバイス名は自身が分かる名称を設定しましょう。
スマートフォンアプリ(仮想MFAデバイス)やハードウェアデバイス(物理的なトークンデバイス)を指定します。
STEP5:デバイスの設定
「QRコードを表示」をクリックし、QRコードを表示します。
指定したデバイスにGoogleAuthenticatorアプリをインストールし、画面上のQRコードをGoogleAuthenticatorアプリで読み込みます。
アプリ上で表示されたワンタイムパスワードを画面のMFAコード1に、ワンタイムパスワードが変わったらMFAコード2に入力し、MFAを追加ボタンを押下すると設定完了です。
STEP6:多要素認証(MFA)の有効化を確認
正しく設定が完了すると、IAM画面で設定したIAMユーザーのMFAステータスが有効になります。
多要素認証(MFA)ができないときの対応
多要素認証(MFA)設定後に認証がうまくできない場合は、次の対応を実施してください。
再同期を実行する
多要素認証(MFA)の設定直後は、AWSのサーバーと同期されないことがあり、ログインできない場合があります。MFAデバイスがAWSのサーバーと同期していない場合は、再同期を試みましょう。ログイン画面で何度か試行すると、再同期を求める画面が表示されるため、「再同期とサインイン」をクリックして解決できます。
再登録を試す
MFAデバイスの紛失や故障、スマートフォンの機種変更で認証ができない場合は、多要素認証(MFA)の再登録が必要です。
MFAデバイスの再登録では、Eメールアドレスや電話番号による本人確認を行った後、新たなデバイスで設定します。
AWSパートナー活用のすすめ
AWSにおける多要素認証(MFA)は、アカウントやAWSリソースを安全に保つために必要不可欠です。セキュリティ対策を怠ると、企業の重要情報や顧客情報の流出などにより信用問題に発展する可能性があります。
MFA運用を含め、ID管理やアクセス制御を自社だけで継続的に管理するのが難しい場合には、外部サービスやパートナーの活用も有効な選択肢になります。認証・権限管理を一元化することで、セキュリティレベルを保ちながら運用負荷を抑えやすくなります。
サーバーワークスの支援内容
サーバーワークスは、最上位のAWSプレミアティアサービスパートナーとして、AWS環境における認証・アクセス管理の設計から運用までを支援しています。
AWSの多要素認証(MFA)とID管理基盤を組み合わせた OneLogin 導入支援を通じて、ユーザー管理の一元化やセキュリティ強化、運用負荷の軽減を実現します。
AWSセキュリティの専門家が監修した、AWSセキュリティ対策のベストプラクティスをまとめたお役立ち資料を無料で配布しています。ご興味のある方は、ぜひ下記よりダウンロードしてご覧ください。
【お役立ち資料】セキュアな AWS 環境を実現する主要サービスとマルチアカウント戦略
【この資料でわかること】
- セキュリティ対策の原則 「多層防御」の重要性
- 30以上のサービスから厳選した「優先すべきAWSセキュリティサービス」
- なぜ今、AWS運用に「マルチアカウント戦略」が求められるのか
- AWS Organizations などを使ったマルチアカウントの具体的な実現方法
- セキュリティ維持の鍵となる「継続的な運用」の重要性
