AWSにおける多要素認証(MFA)とは?設定方法や認証できないときの対応

企業を狙ったサイバー攻撃のリスクが高まるともに、より重要になっているのが知識情報、所持情報、知識情報を組み合わせて認証する「多要素認証」です。それはアマゾン ウェブ サービス(AWS)などのクラウドサービスにとっても例外ではありません。そこで今回は、AWSにおける多要素認証の基本的な知識と設定方法について解説します。
この記事でわかること
- AWSをはじめとするクラウドサービスの台頭で、企業はスピーディーかつ柔軟にシステム運用を行うことが可能になったが、セキュリティリスクも増加している
- AWSでは、ログインやサーバーへログインする際に複数要素による多要素認証(MFA)を提供している
- AWSでの多要素認証(MFA)の設定方法
※当記事は2025年6月に書かれたものであり、以後に展開された最新情報が含まれていない可能性がございます。
AWSにおける多要素認証(MFA)
AWSをはじめとするクラウドサービスの台頭で、企業はスピーディーかつ柔軟にシステム運用を行うことが可能になりました。それに伴いセキュリティリスクも増加しており、その対策として多要素認証(MFA)の導入が推奨されています。ここでは、AWSにおける多要素認証について詳しく解説します。
多要素認証(MFA)とは
多要素認証(MFA:Multi-Factor Authentication)とは、アカウントのログインやサーバーへログインする際に複数要素による認証を要求する仕組みです。ユーザーが管理しているパスワードとスマートフォンで指紋や顔認証などを組み合わせて認証を行う方法が代表的です。他にも、PINコードや秘密の質問、SMS認証の組み合わせがあります。
AWSでは通常のIDとパスワード認証に加えて、スマートフォンの認証アプリケーション(TOTP:Time-based One-Time Password)や、ハードウェアデバイスによるセキュリティキー(FIDO規格対応)を使用します。これにより、アカウントが不正利用されるリスクを大幅に低減でき、セキュリティ向上が可能です。
AWSのIAM(Identity and Access Management)において、多要素認証はルートユーザーを含めたすべてのアカウントに設定可能です。詳細はこちらをご参照ください。
AWSにおけるアクセス制御の基礎知識|AWS IAMの概要や主な機能
多要素認証(MFA)が求められる背景
クラウドサービスの利用増加に伴い、アカウント情報の流出や不正アクセスによる乗っ取り被害が深刻化しています。フィッシング攻撃やパスワードリスト攻撃などの詐欺の手口も巧妙化しており、従来のIDパスワードのみの認証方法では、不正な攻撃から十分に保護することが困難になっています。そのため、AWSリソースへの不正アクセスを防止に貢献する多要素認証(MFA)は非常に重要です。こうした背景から、AWSを利用する企業は多要素認証(MFA)の導入を進め、セキュリティ強化を行っています。
AWSのIAMユーザー多要素認証(MFA)の設定方法
では、AWSのIAMユーザーの多要素認証(MFA)はどのように設定できるのでしょうか。
ここでは、GoogleAuthenticatorを利用した多要素認証(MFA)の設定方法を各ステップで解説します。
STEP1:IAMユーザーにログイン
まず、多要素認証を設定したいIAMユーザーでAWS Management コンソールにログインします。
STEP2:セキュリティ認証情報を選択
ログイン後、画面の右上に先ほどログインしたIAMユーザーのIDをクリックします。
「セキュリティ認証情報」のリンクをクリックすると、IAM画面に遷移します。
STEP3:MFAを割り当てる
「多要素認証(MFA)」セクションから「MFAの割り当て」を選択します。
この時、警告メッセージで「MFAが割り当てられていません」と表示されることがあります。
STEP4:MFAデバイスを選択
多要素認証(MFA)情報を送るデバイスの設定を行います。
デバイス名は自身が分かる名称を設定しましょう。
スマートフォンアプリ(仮想MFAデバイス)やハードウェアデバイス(物理的なトークンデバイス)を指定します。
STEP5:デバイスの設定
「QRコードを表示」をクリックし、QRコードを表示します。
指定したデバイスにGoogleAuthenticatorアプリをインストールし、画面上のQRコードをGoogleAuthenticatorアプリで読み込みます。
アプリ上で表示されたワンタイムパスワードを画面のMFAコード1に、ワンタイムパスワードが変わったらMFAコード2に入力し、MFAを追加ボタンを押下すると設定完了です。
STEP6:多要素認証(MFA)の有効化を確認
正しく設定が完了すると、IAM画面で設定したIAMユーザーのMFAステータスが有効になります。
多要素認証(MFA)ができないときの対応
多要素認証(MFA)設定後に認証がうまくできない場合は、次の対応を実施してください。
再同期を実行する
多要素認証(MFA)の設定直後は、AWSのサーバーと同期されないことがあり、ログインできない場合があります。MFAデバイスがAWSのサーバーと同期していない場合は、再同期を試みましょう。ログイン画面で何度か試行すると、再同期を求める画面が表示されるため、「再同期とサインイン」をクリックして解決できます。
再登録を試す
MFAデバイスの紛失や故障、スマートフォンの機種変更で認証ができない場合は、多要素認証(MFA)の再登録が必要です。
MFAデバイスの再登録では、Eメールアドレスや電話番号による本人確認を行った後、新たなデバイスで設定します。
AWSの多要素認証(MFA)を効率的かつ適切に導入しましょう
AWSの多要素認証(MFA)は、アカウントやAWSリソースを安全に保つために必要不可欠です。セキュリティ対策を怠ると、企業の重要情報や顧客情報の流出などにより信用問題に発展する可能性があります。自社での導入が難しいと感じる場合は、サーバーワークスの「OneLogin 導入支援」の活用を検討しましょう。
ID管理の一元化による利用負担の軽減、セキュリティ担保の方法など、専門家として効率的かつ安全にAWS多要素認証の導入をサポートします。
まずはお気軽にお問い合わせください。