AWSコラム
AWSエンジニアのためのブログメディア

もしも故障や機種変更でAWSのMFA認証ができなくなったら?

2021年04月06日

AWSとは?


AWSとは、Amazon Web Serviceの略で、Amazonが提供しているクラウドコンピューティングサービスです。そのクラウドコンピューティングサービスとは、ITインフラをインターネット経由で提供するサービスのことです。

AWSは、Amazonが世界各地に所有しているITインフラを、サーバーの設計や構築不要で、初期費用もかからず、さらに必要な時にすぐに使える従量課金制サービスなのです。

ITインフラを自社運用するオンプレミス型では、サーバー運用やセキュリティー対策などに費用や時間を使わないといけません。ですが、AWSでは、それらの運用や管理をAmazonに一括で任せられるため、多数のメリットがあります。

AWSは、クラウドサービス市場で高いシェア率を誇っています。今後も、その高いシェア率は続くと予想され、AWSの知識を増やすことでAWSエンジニアとしてより需要の高い存在になれるでしょう。

MFAとは?


MFAとは、Multi-Factor Authenticationの略で、日本語では多要素認証を意味します。MFA(多要素認証)とは、アカウントログインやサーバーアクセス時に、2つ以上の要素が必要になる認証方法のことです。

MFAは、AWSでもアカウント保護などで利用されています。MFAが有効な場合にAWSマネージメントコンソールへログインする際、6桁のMFAコードを要求されます。

1つの認証方法のみではセキュリティーが弱く、不正アクセスをされてしまう可能性があります。そのため、MFAで2つ以上の認証方法を利用して、セキュリティーを高めています。

例えば、TwitterやFacebookなどのSNSやGoogleのサービスを他端末でログインしたい場合でも、MFAが利用されています。PINコードや「初めて飼ったペットの名前は?」などの秘密の質問、SMS認証、指紋認証など様々な要素を組み合わせています。

IAMとは?MFAとの関連は?


IAMとは、Identity and Access Managementの略で、AWSへのログインに関する認証などを管理するためのサービスです。

Identityは、「身元」の意味で、AWSマネジメントコンソール、AWSサービスへアクセスするものが誰なのか認証し、そのアクセスを許可または拒否するなどの管理ができます。

例えば、管理者アカウントへサーバーサービスのAmazon EC2やストレージサービスのAmazon S3など、AWSサービス全てのアクセス権限を付与し、利用者にはAmazon S3の一部分の読み取りのアクセス許可を付与することもできます。

IAMは、AWSマネジメントコンソールからアクセスができ、ユーザー単位やグループ単位で管理できます。MFAは、IAMで管理できるサービスの1つであり、2段階認証の追加や削除などの設定や管理ができるようになっています。

MFA認証でAWSへログインする方法は?


MFAデバイスを登録し、6桁のMFAコードを確認できれば、MFA認証でAWSへログインできます。

AWSアカウントは、ユーザー名とパスワードに加えて、MFAでアカウントを保護できます。また、AWSでは各アプリケーションや各サービス毎でMFAを管理することも可能です。

AWSのMFA認証は、スマートフォンなどの仮想MFAデバイスにMFAアプリケーションをダウンロードする方法、またはMFA専用の端末を用意する方法があります。MFAアプリケーションには、Google Atuhenticator、Microsoft Authenticatorなどがあります。

MFAデバイスには、U2F(ユニバーサル2ndファクター)デバイスのYubiKeyや、ハードウェアデバイスのGemaltoなどもあります。今回は、MFA認証で多く利用されている仮想MFAデバイスで認証する方法を紹介します。

AWSでMFAを有効にする方法は?


MFAアプリケーションをインストールしたデバイスを使って、MFA認証を有効化します。

まず、手元のデバイスにMFAアプリケーションをインストールします。今回は、MFAアプリケーションとして、Google Atuhenticatorをインストールします。

次に、AWSマネジメントコンソール右上のアカウント名から「マイセキュリティー資格情報」を選択します。すると、「セキュリティー認証情報」が表示されます。画面内から「多要素認証(MFA)」を選択し「MFAの有効化」を押下します。

続いて、「MFAデバイスの管理」から「仮想MFAデバイス」を選択し「続行」を押下します。QRコードを表示し、Google AtuhenticatorのQRコード読み取り機能を使います。

最後に、読み取り後に表示された数字6桁を「MFAコード1」「MFAコード2」に入力して「MFAの割り当て」を押下すると、MFAの有効化は完了です。

もし故障や機種変更でMFA認証ができなくなったら?


デバイスの機種変更や故障などでMFA認証できなくなったとしても、再登録できます。まずは、機種変更後のデバイスで、MFAアプリケーションのGoogle Atuhenticatorをダウンロードします。

もしも、機種変更前のデバイスが手元にあれば、通常通りにMFA認証でログインできます。AWSマネジメントコンソール右上のアカウント名から「マイセキュリティー資格情報」の「多要素認証(MFA)」にある「管理」を開きます。

機種変更後にデバイスを再登録するために「削除」を選択します。機種変更前のデバイスが登録解除されます。次に「MFAの有効化」が表示されますので、今度は機種変更後のデバイスでMFA有効化します。MFA有効化は、先に紹介した手順と同じです。

では、AWSの仮想MFAデバイスとして登録済みのデバイスが、紛失や故障で機種変更した場合はどうしたらよいのでしょうか。その場合の手順を順番に紹介します。

①AWSへログインできないことを確かめておく

AWSアカウントのEメールアドレスとパスワードを入力して、MFAコードを入力する画面まで進むことを確かめておきます。MFAコードは、機種変更前のデバイスがないと入力できないため、ログインできません。

もし、EメールアドレスとパスワードのみでAWSへログインできた場合は、MFA認証が無効になっている可能性があります。セキュリティーを高めるためにもMFA有効手順を見ながら有効化しましょう。

AWSアカウントへ不正ログインされてしまうと、重大な情報漏洩に繋がる可能性があります。個人利用であるとしても、MFAを有効化するように心がけておくことが推奨されます。

②MFAのトラブルシューティング

AWSアカウントログインへのMFAコード入力画面から「MFAのトラブルシューティング」へ進みます。

次の認証デバイスのトラブルシューティングでは、「別の要素を使用したサインイン」を選択してください。「MFAデバイスの再同期」は、機種変更の前後にMFAアプリケーションでMFAコードを表示しているにもかかわらず、ログインできない場合などに選択する項目です。

もし、機種変更前や後のデバイスで、一度MFA登録できてもMFAコードでログインできなくなった際は、「MFAデバイスの再同期」で解決する可能性があります。

③Eメールアドレス・電話番号検証

「別の要素を使用したサインイン」では、AWSアカウントのEメールアドレスと電話番号を検証します。

まず、「別の要素を使用したサインイン」でステップ1と表示された「確認Eメールの送信」を押下します。登録したEメールアドレス宛に検証用のURLが記載されたメールが届きます。届いていない場合は、数分後に再読み込みしてみるか、Eメールを再送してみましょう。

次に、検証用のURLを開き、電話番号の確認画面にある「すぐに連絡を受ける」を押下します。登録した電話番号宛てに着信があり、音声メッセージで6桁のコードが案内されます。そのコードを画面に入力するとAWSへログインできます。

AWSヘログインできたら、いままでの手順を見ながら、MFAのデバイス解除を有効化しましょう。

MFA認証を有効にしてセキュリティーを高めよう!


MFA認証を有効化してセキュリティーを高め、不正アクセスを防ぎましょう。

MFA認証の有効化でデバイスの機種変更や紛失でログインできないなど、手間のかかる場合がありますが、セキュリティーを高めることが優先されます。MFA認証は、セキュリティー上、アカウント毎に有効化する方が望ましいでしょう。

スマートフォンやタブレットなどのデバイスがあれば、無料でMFA認証の解除や登録できます。この記事を参考に試してみてはいかがでしょうか。


AWS分野でのキャリアアップをお考えの方は、現在募集中の求人情報をご覧ください。

また、直接のエントリーも受け付けております。

エントリー(応募フォーム)