20240617_IAM MFAのパスキー対応を理解したい_今更多要素認証とパスキーについてキャッチアップしてみた

Transcript

1. IAM MFAのパスキー対応を理解したい
 〜今更(？)多要素認証とパスキーについてキャッチアップしてみた〜
 クラスメソッド株式会社 AWS事業本部コンサルティング部
 
 あしさん
 1

2. 2 自己紹介 あしさん / 芦沢 広昭 (ASHIZAWA Hiroaki) 👲 所属

   AWS事業本部 コンサルティング部 / ソリューションアーキテクト ⭐ 好きなAWSサービス AWS Control Tower、Amazon Security Lake 🗼 グローバルカンファレンス参加歴 re:Invent ：2022、2023 re:Inforce：2024 (初参加!!!!!)

3. 3 本題のアップデート

4. 4 アップデートブログの概要 以下リソースの多要素認証(MFA) としてパスキーが利用可能に • rootユーザー • IAMユーザー つまり... 従来の「ユーザー/パスワード

   + OTP(One Time Password)などのMFA」 だけでなく、 新しく「ユーザー/パスワード + パスキー」 で、AWSマネジメントコンソールにログイン可能になります！

5. 5 私はこう思った “パスキー” お前は一体何者なんだ....

6. パスキー・多要素認証に関する様々な意見を知る 6 調べていくと

7. 7 昨日今日でパスキーにまつわる 諸々をキャッチアップしました！ 間違いがあればマサカリお願いします！

8. 8 大事なこと 話すこと • インターネット上の文献をもとに得た認証、多要素認証、パスキーに関する 情報のまとめ • 関連した私の意見 話さない (できない)

   こと • 認証に特化した専門的な話 • 詳しい技術仕様

9. 9 フォーカスするところ

10. 10 アジェンダ 1. 多要素認証(MFA) とは 2. パスキーとは 3. AWSとパスキー

11. 11 アジェンダ 1. 多要素認証(MFA) とは 2. パスキーとは 3. AWSとパスキー

12. 12 多要素認証(MFA) とは サービス利用時に行う利用者認証を、3つの要素 （(1)知っているもの(2)持っているもの(3)本人自身に関するもの） のうち、2つ以上の要素を用いて行うものを言います。 2つの要素を使うものは「二要素認証」とも言います。 引用: 総務省『国民のためのサイバーセキュリティサイト』より

13. 13 認証の3要素 知っているもの (知識認証) …… 例) パスワード、秘密の質問 など 持っているもの (所有認証)

    …… 例) セキュリティキー、特定の物理デバイス など 本人自身 (生体認証) …………… 例) 指紋、虹彩、顔 など 画像の引用：パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る

14. 14 これまでの多要素認証の背景（ざっくり） 以前のインターネット上のオンライン認証では 所有認証、生体認証の利用が困難だった ※所有を証明する術がない、生体を読み取るデバイスの準備が困難 → パスワード等の知識認証のみの方式が続いたが、パスワード攻撃に晒され続ける → その後、SMSやOTP認証などを追加して対策 ⇩

    近年、フィッシング(Phishing)攻撃が流行 → 詐欺サイトを本物のサイトだと勘違いして、OTPを含めた認証情報を 入力してしまい、アカウントを乗っ取られるケースが急増 ：従来の方法(SMS、OTP認証方式)では対策しきれなくなった

15. 15 セキュリティキーとFIDOによる標準化 エンタープライズ企業を中心にセキュリティキー(※)による ※公開鍵暗号方式を採用した多要素認証、認証器とも呼ばれる 所有情報を利用した多要素認証が注目を集める → でも標準化されていないから普及してない... ⇩ FIDO(Fast Identity

    Online)という業界団体によって標準化が進められる 現在は FIDO2という標準が最新バージョン → CTAP1※、CTAP2(プロトコル)、WebAuthn(Javascript API)として標準 ※U2FとUAFのプロトコルが統合されてできた

16. 16 FIDO2の用語のざっくり解説 WebAuthn - FIDO認証をサポートするブラウザに組み込まれるWebAPI仕様の定義 CTAP2 - ハードウェアキーやモバイルデバイスによるパスワードレス認証やMFAが利用で きる CTAP1

    - U2F：ハードウェアキーによるローカル認証(タッチ、PIN)が利用できる。 MFAとしての用途に限られる(?) - UAF：モバイルデバイスによるローカル認証(生体、PIN)を利用してサービスに登録できる。 登録後はそのデバイスからはパスワードレスで認証可能。

17. 17 FIDO2の基礎について詳しく知りたい https://dev.classmethod.jp/articles/passwordless-authentication-and-fido2/

18. 18 アジェンダ 1. 多要素認証(MFA) とは 2. パスキーとは 3. AWSとパスキー

19. 19 パスキーとは パスキーは、公開鍵暗号化を使用して強力でフィッシング耐性のある認証を 提供する FIDO2 認証情報です。 同期可能なパスキーは、Apple、1Password、Google、Dashlane、Microsoft な どの認証情報プロバイダーによる FIDO2

    実装の進化形であり、USB ベースの キーのように物理デバイスに保存されるのではなく、デバイスやオペレーティ ング システム間で FIDO キーをバックアップして同期できるようにします。 ※Passkeys enhance security and usability as AWS expands MFA requirements | AWS Security Blog の内容を自動翻訳して一部抜粋したもの

20. 20 パスキーはなぜパスワードより良いのか？ • ドメイン情報がクレデンシャルに含まれているため ◦ パスキーの保存時にクレデンシャルとともにドメイン情報がメタデータとして保存さ れる ◦ ドメインが一致しないと認証できない •

    ローカルで認証されるため ◦ パスキーの秘密鍵はローカルデバイスにのみ保存され、公開鍵が保存されるリ モートサーバーには署名のみを送信する • 認証情報が同期できる ◦ パスワードマネージャーから他デバイスに秘密鍵を同期できる ◦ QRコードを利用した一時的な秘密鍵の同期も可能 • 「2要素認証されている」と保証することができるため ◦ 多くのパスワードマネージャーでは、 所持認証(秘密鍵を持っている) + 生体認証(ロック解除など)、で認証 ◦ パスキーの認証情報に多要素認証されたか(UVフラグ)の情報が含まれている

21. 21 MFAやパスキーについてもっと知りたい方へ https://dev.classmethod.jp/articles/multi-factor-authentication/ https://sizu.me/kkoiwai/posts/vrbdbodcbsub

22. 22 アジェンダ 1. 多要素認証(MFA) とは 2. パスキーとは 3. AWSとパスキー

23. 23 AWSのFIDO対応の歴史 2018/9/25：IAMのU2F(CTAP1)対応 - Yubikeyなどのハードウェアデバイスを用いたMFAをサポート ※参考：AWS マネジメントコンソールに多要素認証 (MFA) 用の YubiKey

    セキュリティキーを使ってサインインしてください | AWS What's new 2020/11/20：IAM Identity CenterのWebAuthn 対応 - FIDO2仕様のMFA、U2FによるMFAをサポート ※参考：AWS シングルサインオンに、セキュリティキーと組み込みの生体認証によるユーザー認証のための Web 認証 (WebAuthn) サポートが追加されました。 | AWS What's new 2022/5/13：IAMのWebAuthn 対応 - FIDO2仕様のMFAをサポート ※参考： AWS IAM が WebAuthn と Safari ブラウザをサポートし、セキュリティキーによる多要素認証が可能になりました | AWS What's new 2024/6/12：root、IAMユーザーのパスキー対応 ←:New:

24. 24 AWSドキュメントにおけるパスキーの定義 • Synced passkeys ◦ Google、Apple、Microsoftなどのパスワードマネージャー ◦ 1Password、Dashlane、Bitwardenなどの3rd Party

    パスワードマネージャー ◦ Touch ID、FaceID、Windows Helloなどのデバイス上の生体認証 • device-bound passkeys ◦ YubikeyのようなUSBに差し込む物理的なセキュリティキー 参考: パスキーまたはセキュリティ キーを有効にする (コンソール) | AWSドキュメント

25. 25 AWSのパスキーに関するスタンス • どのMFAでも、シンプルかつ効果的なセキュリティ対策であり優 れているという前提 ◦ 各MFAでどのような特色があるのかは把握しておこう • いずれか選べるならフィッシング耐性のあるMFAがおすすめ パスキーはその中の1つの選択肢

    • どのMFAを使うべきか、パスキーに移行すべきかは組織における MFAの使用状況と要件によって異なる 参考: Passkeys enhance security and usability as AWS expands MFA requirements | AWS Security Blog

26. 26 その他、今覚えておくといいかもしれないこと • 現状、パスワードレス認証はできない ◦ AWS Blogには初回リリースでは「パスワード+MFA認証」を選択したとあった > However, for

    this initial release, we choose to use passkeys as a second factor authentication, in addition to your password. ▪ つまり、いずれパスワードレス認証がサポートされる...？かも ◦ 参考: AWS adds passkey multi-factor authentication (MFA) for root and IAM users | AWS News Blog • AWS CLIやAWS APIでは利用できない > You cannot use AWS CLI commands or AWS API operations to enable FIDO security keys. ◦ 参考：2024年6月現在 AWS CLI の MFA デバイスとしてパスキーは使用できない | DevelopersIO • FIDO2がサポートしていないWebブラウザ、構成に気をつける ◦ Firefoxはパスキー自体がサポートされていない ◦ WindowsOS、LinuxではSafariも未サポート ▪ 参考: パスキーとセキュリティキーの使用にサポートされている構成 | AWSドキュメント

27. 27 AWSドキュメント以外の参考文献 • 国民のためのサイバーセキュリティサイト | 総務省 • パスキーは本当に２要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。 ｜kkoiwai •

    パスキーの基本とそれにまつわる誤解を解きほぐす by えーじ / Eiji Kitamura • パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る by えー じ / Eiji Kitamura • 多要素認証（MFA）とは？認証方式の種類やメリットについて解説｜セキュリティのSHIFT

28. 28 終わりに • パスキーについて多要素認証からキャッチアップしました • とりあえずなんでも良いからMFAを設定しよう • よりセキュアにしたい場合はパスキーという選択肢もあるよ

29. 29 来年のre:Inforceは 現地でお会いしましょう！

30. 30