Amazon Web Services(AWS)は、デフォルトのセキュリティを強化し、アカウント乗っ取りのリスクを低減するため、2024年半ばからすべての特権アカウントに対して多要素認証(MFA)を必須にすると発表した。
その時点以降、AWS Organizations の管理アカウントのルートユーザーで AWS マネジメントコンソールにサインインする顧客は、続行するために MFA の使用が求められると、最高セキュリティ責任者(CSO)のスティーブ・シュミット氏がブログ投稿で述べた。
「MFA を有効化する必要があるお客様には、コンソールにサインインする際のプロンプトを含む複数のチャネルを通じて、今後の変更について通知します」と同氏は付け加えた。
「また、MFA をさらに容易に導入し、大規模に管理できるようにする機能をリリースしながら、2024年を通じてこのプログラムを、スタンドアロンアカウント(AWS Organizations の組織外にあるアカウント)などの追加シナリオへ拡大していきます。」
この動きは、MFA の普及を促進するこれまでの AWS の取り組みに続くものだ。同社は2021年秋から米国のアカウント所有者に無料のセキュリティキーを提供し、さらに1年後には、AWS においてアカウントのルートユーザーまたは IAM ユーザーごとに最大8台の MFA デバイスを登録できるようにした。
MFA について詳しく読む:テック企業CEO「多要素認証は攻撃の90%を防げる」
「私たちは、誰もが何らかの形で MFA を採用することを推奨しており、さらに、セキュリティキーのようなフィッシング耐性のある MFA 形式を選ぶこともお客様に検討していただきたい」と、シュミット氏は結論づけた。
「AWS Organizations の管理アカウントのルートユーザーに対して MFA を有効化する要件は2024年に導入されますが、私たちはお客様に対し、ルートユーザーだけでなく、環境内のすべてのユーザー種別に対して MFA を有効化することで、今日から着手することを強く推奨します。」
MFA は、従業員を狙ったフィッシング攻撃がもたらすリスクを軽減するための重要なステップだ。先月のIBM X-Force の調査では、2022年6月から2023年6月にかけてクラウド侵害に至る初期アクセス手段のトップは、脅威アクターによる有効な認証情報の使用であることが明らかになった。
これは、同セキュリティベンダーが調査した実際のクラウドインシデントの約5分の2(36%)で発生しており、認証情報は攻撃中に発見されたか、アカウントを標的にする前に盗まれた/フィッシングされたものだった。
翻訳元: https://www.infosecurity-magazine.com/news/aws-multifactor-authentication-2024/
