IAM MFAのパスキー対応を理解したい
 〜今更(？)多要素認証とパスキーについてキャッチアップしてみた〜
 クラスメソッド株式会社 AWS事業本部コンサルティング部
 
 あしさん
 1

2 自己紹介 あしさん / 芦沢 広昭 (ASHIZAWA Hiroaki) 👲 所属 AWS事業本部 コンサルティング部 / ソリューションアーキテクト ⭐ 好きなAWSサービス AWS Control Tower、Amazon Security Lake 🗼 グローバルカンファレンス参加歴 re:Invent ：2022、2023 re:Inforce：2024 (初参加!!!!!)

3 本題のアップデート

4 アップデートブログの概要 以下リソースの多要素認証(MFA) としてパスキーが利用可能に ● rootユーザー ● IAMユーザー つまり... 従来の「ユーザー/パスワード + OTP(One Time Password)などのMFA」 だけでなく、 新しく「ユーザー/パスワード + パスキー」 で、AWSマネジメントコンソールにログイン可能になります！

5 私はこう思った “パスキー” お前は一体何者なんだ....

パスキー・多要素認証に関する様々な意見を知る 6 調べていくと

7 昨日今日でパスキーにまつわる 諸々をキャッチアップしました！ 間違いがあればマサカリお願いします！

8 大事なこと 話すこと ● インターネット上の文献をもとに得た認証、多要素認証、パスキーに関する 情報のまとめ ● 関連した私の意見 話さない (できない) こと ● 認証に特化した専門的な話 ● 詳しい技術仕様

9 フォーカスするところ

10 アジェンダ 1. 多要素認証(MFA) とは 2. パスキーとは 3. AWSとパスキー

11 アジェンダ 1. 多要素認証(MFA) とは 2. パスキーとは 3. AWSとパスキー

12 多要素認証(MFA) とは サービス利用時に行う利用者認証を、3つの要素 （(1)知っているもの(2)持っているもの(3)本人自身に関するもの） のうち、2つ以上の要素を用いて行うものを言います。 2つの要素を使うものは「二要素認証」とも言います。 引用: 総務省『国民のためのサイバーセキュリティサイト』より

13 認証の3要素 知っているもの (知識認証) …… 例) パスワード、秘密の質問 など 持っているもの (所有認証) …… 例) セキュリティキー、特定の物理デバイス など 本人自身 (生体認証) …………… 例) 指紋、虹彩、顔 など 画像の引用：パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る

14 これまでの多要素認証の背景（ざっくり） 以前のインターネット上のオンライン認証では 所有認証、生体認証の利用が困難だった ※所有を証明する術がない、生体を読み取るデバイスの準備が困難 → パスワード等の知識認証のみの方式が続いたが、パスワード攻撃に晒され続ける → その後、SMSやOTP認証などを追加して対策 ⇩ 近年、フィッシング(Phishing)攻撃が流行 → 詐欺サイトを本物のサイトだと勘違いして、OTPを含めた認証情報を 入力してしまい、アカウントを乗っ取られるケースが急増 ：従来の方法(SMS、OTP認証方式)では対策しきれなくなった

15 セキュリティキーとFIDOによる標準化 エンタープライズ企業を中心にセキュリティキー(※)による ※公開鍵暗号方式を採用した多要素認証、認証器とも呼ばれる 所有情報を利用した多要素認証が注目を集める → でも標準化されていないから普及してない... ⇩ FIDO(Fast Identity Online)という業界団体によって標準化が進められる 現在は FIDO2という標準が最新バージョン → CTAP1※、CTAP2(プロトコル)、WebAuthn(Javascript API)として標準 ※U2FとUAFのプロトコルが統合されてできた

16 FIDO2の用語のざっくり解説 WebAuthn - FIDO認証をサポートするブラウザに組み込まれるWebAPI仕様の定義 CTAP2 - ハードウェアキーやモバイルデバイスによるパスワードレス認証やMFAが利用で きる CTAP1 - U2F：ハードウェアキーによるローカル認証(タッチ、PIN)が利用できる。 MFAとしての用途に限られる(?) - UAF：モバイルデバイスによるローカル認証(生体、PIN)を利用してサービスに登録できる。 登録後はそのデバイスからはパスワードレスで認証可能。

17 FIDO2の基礎について詳しく知りたい https://dev.classmethod.jp/articles/passwordless-authentication-and-fido2/

18 アジェンダ 1. 多要素認証(MFA) とは 2. パスキーとは 3. AWSとパスキー

19 パスキーとは パスキーは、公開鍵暗号化を使用して強力でフィッシング耐性のある認証を 提供する FIDO2 認証情報です。 同期可能なパスキーは、Apple、1Password、Google、Dashlane、Microsoft な どの認証情報プロバイダーによる FIDO2 実装の進化形であり、USB ベースの キーのように物理デバイスに保存されるのではなく、デバイスやオペレーティ ング システム間で FIDO キーをバックアップして同期できるようにします。 ※Passkeys enhance security and usability as AWS expands MFA requirements | AWS Security Blog の内容を自動翻訳して一部抜粋したもの

20 パスキーはなぜパスワードより良いのか？ ● ドメイン情報がクレデンシャルに含まれているため ○ パスキーの保存時にクレデンシャルとともにドメイン情報がメタデータとして保存さ れる ○ ドメインが一致しないと認証できない ● ローカルで認証されるため ○ パスキーの秘密鍵はローカルデバイスにのみ保存され、公開鍵が保存されるリ モートサーバーには署名のみを送信する ● 認証情報が同期できる ○ パスワードマネージャーから他デバイスに秘密鍵を同期できる ○ QRコードを利用した一時的な秘密鍵の同期も可能 ● 「2要素認証されている」と保証することができるため ○ 多くのパスワードマネージャーでは、 所持認証(秘密鍵を持っている) + 生体認証(ロック解除など)、で認証 ○ パスキーの認証情報に多要素認証されたか(UVフラグ)の情報が含まれている

21 MFAやパスキーについてもっと知りたい方へ https://dev.classmethod.jp/articles/multi-factor-authentication/ https://sizu.me/kkoiwai/posts/vrbdbodcbsub

22 アジェンダ 1. 多要素認証(MFA) とは 2. パスキーとは 3. AWSとパスキー

23 AWSのFIDO対応の歴史 2018/9/25：IAMのU2F(CTAP1)対応 - Yubikeyなどのハードウェアデバイスを用いたMFAをサポート ※参考：AWS マネジメントコンソールに多要素認証 (MFA) 用の YubiKey セキュリティキーを使ってサインインしてください | AWS What's new 2020/11/20：IAM Identity CenterのWebAuthn 対応 - FIDO2仕様のMFA、U2FによるMFAをサポート ※参考：AWS シングルサインオンに、セキュリティキーと組み込みの生体認証によるユーザー認証のための Web 認証 (WebAuthn) サポートが追加されました。 | AWS What's new 2022/5/13：IAMのWebAuthn 対応 - FIDO2仕様のMFAをサポート ※参考： AWS IAM が WebAuthn と Safari ブラウザをサポートし、セキュリティキーによる多要素認証が可能になりました | AWS What's new 2024/6/12：root、IAMユーザーのパスキー対応 ←:New:

24 AWSドキュメントにおけるパスキーの定義 ● Synced passkeys ○ Google、Apple、Microsoftなどのパスワードマネージャー ○ 1Password、Dashlane、Bitwardenなどの3rd Party パスワードマネージャー ○ Touch ID、FaceID、Windows Helloなどのデバイス上の生体認証 ● device-bound passkeys ○ YubikeyのようなUSBに差し込む物理的なセキュリティキー 参考: パスキーまたはセキュリティ キーを有効にする (コンソール) | AWSドキュメント

25 AWSのパスキーに関するスタンス ● どのMFAでも、シンプルかつ効果的なセキュリティ対策であり優 れているという前提 ○ 各MFAでどのような特色があるのかは把握しておこう ● いずれか選べるならフィッシング耐性のあるMFAがおすすめ パスキーはその中の1つの選択肢 ● どのMFAを使うべきか、パスキーに移行すべきかは組織における MFAの使用状況と要件によって異なる 参考: Passkeys enhance security and usability as AWS expands MFA requirements | AWS Security Blog

26 その他、今覚えておくといいかもしれないこと ● 現状、パスワードレス認証はできない ○ AWS Blogには初回リリースでは「パスワード+MFA認証」を選択したとあった > However, for this initial release, we choose to use passkeys as a second factor authentication, in addition to your password. ■ つまり、いずれパスワードレス認証がサポートされる...？かも ○ 参考: AWS adds passkey multi-factor authentication (MFA) for root and IAM users | AWS News Blog ● AWS CLIやAWS APIでは利用できない > You cannot use AWS CLI commands or AWS API operations to enable FIDO security keys. ○ 参考：2024年6月現在 AWS CLI の MFA デバイスとしてパスキーは使用できない | DevelopersIO ● FIDO2がサポートしていないWebブラウザ、構成に気をつける ○ Firefoxはパスキー自体がサポートされていない ○ WindowsOS、LinuxではSafariも未サポート ■ 参考: パスキーとセキュリティキーの使用にサポートされている構成 | AWSドキュメント

27 AWSドキュメント以外の参考文献 ● 国民のためのサイバーセキュリティサイト | 総務省 ● パスキーは本当に２要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。 ｜kkoiwai ● パスキーの基本とそれにまつわる誤解を解きほぐす by えーじ / Eiji Kitamura ● パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る by えー じ / Eiji Kitamura ● 多要素認証（MFA）とは？認証方式の種類やメリットについて解説｜セキュリティのSHIFT

28 終わりに ● パスキーについて多要素認証からキャッチアップしました ● とりあえずなんでも良いからMFAを設定しよう ● よりセキュアにしたい場合はパスキーという選択肢もあるよ

29 来年のre:Inforceは 現地でお会いしましょう！

30