組織利用における MFA 管理方法を考える

2

自己紹介

• 星　幸平 / Hoshi Kohei• 株式会社スカイアーチネットワークス• 好きな AWSサービス　IAM、 CloudFormation、 AWS CLI

• 最近のハマり事ゴルフ（コース未デビュー）テニスポケゴー（赤 26）、油そば

3

どんな会社？

サバカン屋(サーバー管理 )

大阪

NY

大連

東京サバ缶活動

4

業務風景サーバー購入 サーバー構築

サーバー運用

5

はじめに

MFA つかっていますか？Yes? No?

6

導入しましょう

ルート（特権）アカウントには必ず適用しましょう※ できれば IAM ユーザーにもね！

7

MFA （ AWS Multi-Factor Authentication ）とは？• AWS Multi-Factor Authentication (AWS MFA) は、 AWS 環境のセキュリティを非常に高いレベルに強化するサービスです。 AWS MFA は、 AWS アカウント、およびこのアカウントで作成した個別の AWS Identity and

Access Management (IAM) ユーザーに対して有効にできます。• 通常の認証（ ID パスワード、 API アクセス）に加えて時刻ベースのワンタイムパスワードによる２段階認証を実装できる

8

MFA を導入する理由

• 特権アカウントは全権限を所有しているため、漏洩リスクがどでかい• 過去、漏洩した特権アカウントの悪用が話題となった

• 特権アカウントはアクセスキーを削除して MFA で保護、 IAM で権限を使い分けて運用するAWS アカウント IAM

全機能使用可 AWS リソースは基本的に利用可能( 一部例外有り ※ 1)契約関連の操作不可（解約、サポートプランの変更、通信設定、AWS アカウントの情報変更）

※1 IAM をサポートする AWS サービスhttp://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

9

組織で複数アカウントを管理しているケース• アカウント数は数十～数百単位で管理している• プロジェクト、エンドユーザー、案件毎にアカウントが分かれている• 一括請求（コンソリデーティッドビリング）で請求を管理している• MFA 管理方法がアカウント、案件毎に違う

規模が大きくなると管理の手間がかかる（はず）

10

要件（希望）

• ルート（特権）アカウントへの MFA 導入は必須• 出来れば IAM ユーザーの導入も可能

• MFA にアクセスする権限を管理したい（決められた人だけが MFA を使用）• セキュリティを担保しつつ複数拠点からリモートで MFA アクセスしたい• 可用性、信頼性を考慮したい（ US に電話連絡して再設定するリスクを極力除外したい）

11

ハードウェア MFA? or 仮想 MFA?

ハードウェア MFA 、仮想 MFA から色々選択できます※SMS MFA はプレビュー版のため除外

12

ハードウェア MFA を検討してみる

キーホルダー型かカード型

13

保管場所

• セキュリティの高い場所を選定して保管• 会社の金庫、銀行の貸金庫等

• 高温多湿、物の出入りの激しい過酷な環境は避ける• 温度、湿度、圧力などの環境要因により、クロックがずれたりデバイスが壊れたりする

14

正しく保管しなかった結果

15

収納について

複数個管理するのはつらい形的に収納性がイマイチ（複数個管理に向いていない）カードバインダーで収納は解決できそう

16

カード型はどうなのか• 同期について

• 早い時は 1~2ヶ月で同期切れになる• 定期的に再同期をする必要がある

• 最悪 US のサポートに電話連絡する必要がある• 時刻ずれを再同期を前提とした運用設計が必要

• リモートアクセス、可用性、信頼性について• 物理デバイスという性質上、難しい

• コスト• 20 ドル * 個数分• 管理工数、ロケーション代等

• そもそも購入できない• 販売停止中、再販見込み未定？ (2016年 9月現在 )→

17

仮想 MFA （スマートフォン）を検討してみる

• 代表的なアプリは Google Authenticator と Authy• RFC 6238 – TOTP に対応した実装ソフトウェアであれば利用可能

18

仮想 MFA （スマートフォン）を検討してみる

• 同期について• スマホ本体の時刻同期が出来ていれば再同期の心配はない

• コスト• アプリケーションは基本無料• ハードウェアの調達代（スマホ本体等）、保管場所

• 管理方法• 基本的に持ち歩くことを想定しないため、安全な場所で厳重に保管• ハードウェア MFA と同じような管理方法

19

仮想 MFA （スマートフォン）で要件を満たせるのか• 収納について• 1 ハードウェアで複数のアカウントでトークンを発行可能

• MFA アクセス可能な権限を管理したい（決められた人だけがアクセス）• 保管場所の運用次第で可能

• セキュリティを担保しつつリモートでも MFA アクセスしたい• リモートアクセス自体は出来なくもないが・・・• リモートアクセスを想定した端末ではない

• 可用性、信頼性　を考慮したい（壊れて再設定というリスクを極力除外したい）• スマホ端末自体の信頼性は機種によって異なる• バックアップは可能（アプリ、スマホ OS ）

20

仮想 MFA （ソフトウェア型）を検討してみる• RFC 6238 – TOTP に対応した実装ソフトウェアであれば利用可能※ 1• WinAuth と et-otp 等

※- RFC 6238 - TOTP: Time-Based One-Time Password Algorithmhttp://tools.ietf.org/html/rfc6238

21

仮想 MFA （ソフトウェア型）を検討してみる

• 実行条件を満たしていればどの端末でも実行可能• Windows 、 Linux 、 Mac 等・・・• et-OTP は java の実行環境があれば起動可能• WinAuth は Windows のみ対応

• 同期について• 起動端末側の時刻同期が出来ていれば再同期の心配はない

• コスト• ソフトウェアは基本無料• ハードウェアの調達代（ストレージ、実行環境）

22

仮想 MFA （ソフトウェア型）で要件を満たせるのか• MFA アクセス可能な権限を管理したい（決められた人だけがアクセス）• 端末側、保管先のストレージ側等で権限管理の選択肢は多い

• セキュリティを担保しつつリモートでも MFA アクセスしたい• 色々手段がある、可能

• 可用性、信頼性　を考慮したい（壊れて再設定というリスクを極力除外したい）• ファイル形式かつサイズが小さいのでストレージ等に保管しやすい

( 数百バイト )

23

実際に管理方法を検討する• 仮想 MFA （ソフトウェア型） WinAuth を採用• 利用端末は Windows

• MFA 保管場所は社内基幹システムのストレージサーバー• RAID1以上の冗長性を保ちたい

• 管理者のみが MFA 保管場所にアクセス可能• Windows の AD でアクセス権限を管理

• 複数拠点からのリモートアクセスが可能• オフィス、自宅等アクセスを想定

• DR もある程度考慮したい• 別ロケーションに MFA の exeファイルをバックアップ

24

運用してみた

①exeファイルにアクセス ②WinAuth起動

③トークン発行④ルート ( 特権 ) アカウントログイン

※ 設定ファイルを S3 にバックアップ

25

運用してみてわかったこと• 同期切れの心配がなくなった

• 今のところ同期が切れたことはない• リモートアクセスが便利

• 便利な反面、運用の注意は必要である• 特にリモート端末側のセキュリティ対策（運用方法も）は怠らない！

• MFA デバイスの管理から解放された• 物理 MFAやスマホの購入、物理故障等々の管理は結構大変• その代わりアクセス権の管理と構成の運用が必要になった

• ついでにディザスタリカバリの対策にもなった• 遠隔地へのバックアップが容易• 災害等で保管場所への物理アクセスが不可能になるリスクを回避

26

まとめ

• 仮想 MFA が必ずしも最適解というわけではない• ハードウェア MFA 、仮想 MFAそれぞれの特徴を理解して選定する

• 利用ケースに応じて正しく MFA の運用方法を選択する。• 今回の紹介例も最強の運用方法ではない。セキュリティ要件、規模、予算毎に適切な運用方法を検討しましょう

ご清聴ありがとうございました。