Last Updated on 2025-07-16 16:21 by admin
Amazon Web Servicesは2025年6月17日、米国ペンシルベニア州フィラデルフィアで開催中の年次クラウドセキュリティカンファレンス「re:Inforce 2025」において、全タイプのAWSアカウントのルートユーザーに対する多要素認証(MFA)適用率100%を達成したと発表した。
同社の最高情報セキュリティ責任者Amy Herzogが基調講演で明らかにした。AWSは昨年のre:InforceでスタンドアロンアカウントのルートユーザーへのMFA義務化を発表し、2025年3月にはCISA Secure by Design誓約支援のため組織内メンバーアカウントのルートユーザーにも適用を拡大していた。
同時にAWSは新セキュリティ機能を複数発表した。AWS Identity and Access Management Access Analyzerに組織内リソースアクセス権限の可視化機能を追加し、AWS Security Hubには脅威優先順位付け機能を強化した。
MFA適用により99%以上のパスワード関連攻撃を防ぐ効果があり、FIDO2パスキー対応により顧客登録率が100%以上増加し、75万以上のAWSルートユーザーがMFAを有効化した。
From: 
AWS locks down cloud security, hits 100% MFA enforcement for root users
【編集部解説】
AWSが達成したルートユーザーの100%MFA適用は、クラウドセキュリティ業界における歴史的な転換点と言えるでしょう。この取り組みの背景には、昨年発生したSnowflakeの大規模データ侵害事件があります。同事件では160以上の顧客アカウントが盗まれた認証情報により侵害されましたが、いずれもMFAが有効になっていませんでした。
MFA(多要素認証)の技術的意義
MFAは単純なパスワード認証に加えて、物理的なデバイスや生体認証などの第二の認証要素を要求するセキュリティ手法です。AWS公式発表によると、この仕組みは99%以上のパスワード関連攻撃を防ぐ効果があります。特にFIDO2パスキーの導入により、フィッシング攻撃に対する耐性も大幅に向上しています。
段階的な展開戦略の巧妙さ
AWSは2024年5月から段階的にMFA義務化を進めてきました。まず大規模環境の管理アカウントから開始し、6月にスタンドアロンアカウント、そして2025年春にメンバーアカウントへと拡大する戦略を採用しています。この慎重なアプローチにより、75万以上のルートユーザーがMFAを有効化し、FIDO2パスキーの登録率は100%以上増加しました。
新セキュリティ機能群の戦略的価値
同時発表されたAWS IAM Access Analyzerの新機能は、組織内の誰が重要なリソースにアクセス権を持っているかを自動推論により検証し、統合ダッシュボードで可視化します。S3バケット、DynamoDBテーブル、RDSスナップショットなどの重要リソースへのアクセス状況を一元管理できるようになりました。
AWS Security Hubの強化版では、複数のセキュリティシグナルを相関分析し、優先度の高い脅威を自動識別します。例えば、公開されたEC2インスタンスが高い脆弱性と過度な権限を持つ場合、これらの要素を組み合わせて重要度を判定する仕組みです。
FIDO2パスキーの革新性
AWS が新たに対応したFIDO2パスキーは、指紋認証、顔認証、PINなどのデバイス内蔵セキュリティ機能を活用する認証方式です。従来のパスワードに代わる第二要素として機能し、フィッシング攻撃に対する暗号学的な耐性を提供します。ユーザーは最大8台のMFAデバイスを登録できるため、柔軟性も確保されています。
業界全体への波及効果
AWSが「MFA義務化を実施した最初のクラウドプロバイダー」と主張している点は注目に値します。この動きは他の主要クラウドプロバイダーにも同様の取り組みを促す可能性が高く、Google CloudやMicrosoft Azureも類似の要件拡大を発表しています。
潜在的な運用課題
一方で、MFA義務化には運用面での課題も存在します。大規模組織では数十から数百のアカウントを管理するため、MFAデバイスの管理負荷が増大する可能性があります。AWSは2025年春の完全展開に向けて段階的な通知と移行支援を提供すると発表しており、運用への影響を最小限に抑える配慮を示しています。
規制環境への長期的影響
この取り組みは、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)のSecure by Design誓約への対応でもあります。同機関の人材流出や予算削減が懸念される中、民間企業による自主的なセキュリティ強化は、今後の規制動向に大きな影響を与える可能性があります。
【用語解説】
MFA(多要素認証)
パスワードに加えて、物理的なデバイスや生体認証などの第二の認証要素を要求するセキュリティ手法である。AWS発表によると99%以上のパスワード関連攻撃を防ぐ効果がある。
ルートユーザー
AWSアカウントにおける最高権限を持つユーザーアカウントである。アカウント作成時に自動的に作成され、すべてのAWSサービスとリソースに対する完全なアクセス権限を持つ。
FIDO2パスキー
フィッシング攻撃に対する暗号学的耐性を持つ最新の認証技術である。指紋認証、顔認証、PINなどのデバイス内蔵セキュリティ機能を使用し、従来のパスワード認証よりも高いセキュリティを提供する。
AWS Organizations
複数のAWSアカウントを中央集権的に管理するサービスである。管理アカウントとメンバーアカウントの階層構造により、組織全体のガバナンスとセキュリティポリシーを統一できる。
自動推論(Automated Reasoning)
数学的手法を用いてシステムの動作を論理的に検証する技術である。AWS IAM Access Analyzerでは、複数のポリシーを評価してアクセス権限を正確に分析するために使用される。
【参考リンク】
Amazon Web Services(AWS)公式サイト(外部)
世界最大のクラウドコンピューティングサービスプロバイダー。200以上のサービスを提供し、世界中の企業や政府機関に利用されている。
AWS re:Inforce 2025公式サイト(外部)
2025年6月16-18日にペンシルベニア州フィラデルフィアで開催されたAWSの年次セキュリティカンファレンス。
AWS IAM Access Analyzer(外部)
最小権限を実現するためのアクセス権設定、検証、調整ツールを提供するサービス。自動推論を使用して外部アクセスを分析。
AWS Security Hub(外部)
AWSのセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らしてAWS環境を評価するサービス。
CISA(米国サイバーセキュリティ・インフラセキュリティ庁)(外部)
米国国土安全保障省の外局として運用される行政機関。Secure by Design誓約を推進し、企業のサイバーセキュリティ向上を支援。
【参考動画】
AWS Security LIVE! from re:Inforce 2025: Day 1
AWS re:Inforce 2025初日のライブ配信。最新のセキュリティ機能発表とデモンストレーションを含む公式コンテンツ。
AWS Security LIVE! from re:Inforce 2025: Day 2
AWS re:Inforce 2025二日目のライブ配信。MFA義務化や新セキュリティ機能について詳細な技術解説を提供。
【参考記事】
AWS re:Inforce roundup 2025: top announcements(外部)
AWS公式ブログによるre:Inforce 2025の主要発表まとめ。MFA義務化達成とIAM Access Analyzer新機能について詳述。
MFA required for AWS Organizations member accounts in 2025(外部)TechTargetによるMFA義務化の段階的展開に関する詳細レポート。75万ユーザーのMFA有効化について報告。
【編集部後記】
今回のAWSのMFA義務化は、私たち一人ひとりのデジタルライフにも深く関わる変化だと感じています。皆さんは普段、どのようなセキュリティ対策を取られていますか?スマートフォンの指紋認証や顔認証も、実はMFAの一種なんです。
クラウドサービスがインフラとして当たり前になった今、企業レベルのセキュリティ強化が私たちの個人情報保護にどう影響するのか、一緒に考えてみませんか?また、皆さんが利用しているオンラインサービスで「二段階認証を設定してください」という案内を見かけたとき、どんな気持ちになりますか?
面倒だと感じる方も多いかもしれませんが、この記事を読んで何か新しい発見はありましたでしょうか?
クラウドコンピューティングニュースをinnovaTopiaでもっと読む
サイバーセキュリティニュースをinnovaTopiaでもっと読む
