OpsJAWS Meetup#8 http://www.skyarch.net/blog/?p=8546

1. 組織利用におけるMFA管理方法を考え
る

2. 2
自己紹介
• 星 幸平/ Hoshi Kohei
• 株式会社スカイアーチネットワークス
• 好きなAWSサービス
IAM、CloudFormation、AWS CLI
• 最近のハマり事
ゴルフ（コース未デビュー）テニス
ポケゴー（赤26）、油そば

3. 3
どんな会社？
サバカン屋
(サーバー管理)
大阪
NY
大連
東京サバ缶活動

4. 4
業務風景
サーバー購入
サーバー構築
サーバー運用

5. 5
はじめに
MFAつかっていますか？
Yes? No?

6. 6
導入しましょう
ルート（特権）アカウントには必ず適用しましょう
※できればIAMユーザーにもね！

7. 7
MFA（AWS Multi-Factor Authentication）とは？
• AWS Multi-Factor Authentication (AWS MFA) は、AWS 環境のセキュリティ
を非常に高いレベルに強化するサービスです。AWS MFA は、AWS アカ
ウント、およびこのアカウントで作成した個別の AWS Identity and Access
Management (IAM) ユーザーに対して有効にできます。
• 通常の認証（IDパスワード、APIアクセス）に加えて時刻ベースのワン
タイムパスワードによる２段階認証を実装できる

8. 8
MFAを導入する理由
• 特権アカウントは全権限を所有しているため、漏洩リスクがどでかい
• 過去、漏洩した特権アカウントの悪用が話題となった
• 特権アカウントはアクセスキーを削除してMFAで保護、IAMで権限を使
い分けて運用する
AWSアカウント IAM
全機能使用可 AWSリソースは基本的に利用可能
(一部例外有り ※1)
契約関連の操作不可（解約、サ
ポートプランの変更、通信設定、
AWSアカウントの情報変更）
※1 IAM をサポートする AWS サービス
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_a
ws-services-that-work-with-iam.html

9. 9
組織で複数アカウントを管理しているケース
• アカウント数は数十～数百単位で管理している
• プロジェクト、エンドユーザー、案件毎にアカウントが分かれている
• 一括請求（コンソリデーティッドビリング）で請求を管理している
• MFA管理方法がアカウント、案件毎に違う
規模が大きくなると管理の手間がかかる（はず）

10. 10
要件（希望）
• ルート（特権）アカウントへのMFA導入は必須
• 出来ればIAMユーザーの導入も可能
• MFAにアクセスする権限を管理したい（決められた人だけがMFAを使
用）
• セキュリティを担保しつつ複数拠点からリモートでMFAアクセスしたい
• 可用性、信頼性を考慮したい（USに電話連絡して再設定するリスクを極
力除外したい）

11. 11
ハードウェアMFA? or 仮想MFA?
ハードウェアMFA、仮想MFAから色々選択できます
※SMS MFAはプレビュー版のため除外

12. 12
ハードウェアMFAを検討してみる
キーホルダー型かカード型

13. 13
保管場所
• セキュリティの高い場所を選定して保管
• 会社の金庫、銀行の貸金庫等
• 高温多湿、物の出入りの激しい過酷な環境は避ける
• 温度、湿度、圧力などの環境要因により、クロックがずれたりデバ
イスが壊れたりする

14. 14
正しく保管しなかった結果

15. 15
収納について
複数個管理するのはつらい
形的に収納性がイマイチ（複数個管理に向いていない）
カードバインダーで収納は解決できそう

16. 16
カード型はどうなのか
• 同期について
• 早い時は1~2ヶ月で同期切れになる
• 定期的に再同期をする必要がある
• 最悪USのサポートに電話連絡する必要がある
• 時刻ずれを再同期を前提とした運用設計が必要
• リモートアクセス、可用性、信頼性について
• 物理デバイスという性質上、難しい
• コスト
• 20ドル * 個数分
• 管理工数、ロケーション代等
• そもそも購入できない
• 販売停止中、再販見込み未定？(2016年9月現在)→

17. 17
仮想MFA（スマートフォン）を検討してみる
• 代表的なアプリはGoogle AuthenticatorとAuthy
• RFC 6238 – TOTP に対応した実装ソフトウェアであれば利用可能

18. 18
仮想MFA（スマートフォン）を検討してみる
• 同期について
• スマホ本体の時刻同期が出来ていれば再同期の心配はない
• コスト
• アプリケーションは基本無料
• ハードウェアの調達代（スマホ本体等）、保管場所
• 管理方法
• 基本的に持ち歩くことを想定しないため、安全な場所で厳重に保管
• ハードウェアMFAと同じような管理方法

19. 19
仮想MFA（スマートフォン）で要件を満たせるのか
• 収納について
• 1ハードウェアで複数のアカウントでトークンを発行可能
• MFAアクセス可能な権限を管理したい（決められた人だけがアクセス）
• 保管場所の運用次第で可能
• セキュリティを担保しつつリモートでもMFAアクセスしたい
• リモートアクセス自体は出来なくもないが・・・
• リモートアクセスを想定した端末ではない
• 可用性、信頼性 を考慮したい（壊れて再設定というリスクを極力除外
したい）
• スマホ端末自体の信頼性は機種によって異なる
• バックアップは可能（アプリ、スマホOS）

20. 20
仮想MFA（ソフトウェア型）を検討してみる
• RFC 6238 – TOTP に対応した実装ソフトウェアであれば利用可能※1
• WinAuthとet-otp等
※- RFC 6238 - TOTP: Time-Based One-Time Password Algorithm
http://tools.ietf.org/html/rfc6238

21. 21
仮想MFA（ソフトウェア型）を検討してみる
• 実行条件を満たしていればどの端末でも実行可能
• Windows、Linux、Mac等・・・
• et-OTPはjavaの実行環境があれば起動可能
• WinAuthはWindowsのみ対応
• 同期について
• 起動端末側の時刻同期が出来ていれば再同期の心配はない
• コスト
• ソフトウェアは基本無料
• ハードウェアの調達代（ストレージ、実行環境）

22. 22
仮想MFA（ソフトウェア型）で要件を満たせるのか
• MFAアクセス可能な権限を管理したい（決められた人だけがアクセス）
• 端末側、保管先のストレージ側等で権限管理の選択肢は多い
• セキュリティを担保しつつリモートでもMFAアクセスしたい
• 色々手段がある、可能
• 可用性、信頼性 を考慮したい（壊れて再設定というリスクを極力除外
したい）
• ファイル形式かつサイズが小さいのでストレージ等に保管しやすい
(数百バイト)

23. 23
実際に管理方法を検討する
• 仮想MFA（ソフトウェア型） WinAuthを採用
• 利用端末はWindows
• MFA保管場所は社内基幹システムのストレージサーバー
• RAID1以上の冗長性を保ちたい
• 管理者のみがMFA保管場所にアクセス可能
• WindowsのADでアクセス権限を管理
• 複数拠点からのリモートアクセスが可能
• オフィス、自宅等アクセスを想定
• DRもある程度考慮したい
• 別ロケーションにMFAのexeファイルをバックアップ

24. 24
運用してみた
①exeファイルにアクセス ②WinAuth起動
③トークン発行
④ルート(特権)アカウントログイン
※設定ファイルをS3にバックアップ

25. 25
運用してみてわかったこと
• 同期切れの心配がなくなった
• 今のところ同期が切れたことはない
• リモートアクセスが便利
• 便利な反面、運用の注意は必要である
• 特にリモート端末側のセキュリティ対策（運用方法も）は怠らない！
• MFAデバイスの管理から解放された
• 物理MFAやスマホの購入、物理故障等々の管理は結構大変
• その代わりアクセス権の管理と構成の運用が必要になった
• ついでにディザスタリカバリの対策にもなった
• 遠隔地へのバックアップが容易
• 災害等で保管場所への物理アクセスが不可能になるリスクを回避

26. 26
まとめ
• 仮想MFAが必ずしも最適解というわけではない
• ハードウェアMFA、仮想MFAそれぞれの特徴を理解して選定する
• 利用ケースに応じて正しくMFAの運用方法を選択する。
• 今回の紹介例も最強の運用方法ではない。セキュリティ要件、規模、
予算毎に適切な運用方法を検討しましょう

27. ご清聴ありがとうございました。