AWSが多要素認証を“じわじわ必須化” その成果はいかほど？：2025年春に対象ユーザーを拡大

AWSは2024年5月から一部のエンドユーザーを対象に、多要素認証（MFA）を必須化した。その成果を踏まえ、さらに対象範囲を拡大する計画だ。

[Alex Scroxton，TechTarget]

　クラウドサービス大手のAmazon Web Services（AWS）が、多要素認証（MFA）を必須とするエンドユーザーの対象範囲を拡大する。同社は2024年5月から一部のエンドユーザーに対してMFAの導入を必須化し、成果がみられたという。成果はどれほどなのか。

“MFA必須化”の成果はいかほど？

　AWSは2024年5月、アカウント管理サービス「AWS Organizations」の管理アカウントを有するルートユーザーが、Webブラウザベースの管理ツール「AWS Management Console」にログインする際のMFAを必須化した。ルートユーザーとは、AWSアカウント作成時に登録したメールアドレスとパスワードでログイン可能なユーザーを指す。

　2024年6月には、MFAの方法としてパスワードレス認証技術「FIDO2」を追加。スタンドアロンアカウント（組織に属さないアカウント）のルートユーザーも対象に加えた。

　AWSでアカウント認証プロダクト部門シニアマネジャーを務めるアリン・クロウ氏によると、2024年4月以降、75万以上のルートユーザーがMFAを導入し、FIDO2の追加後、MFAの利用率は2倍以上に増えた。クロウ氏はこの方針変更により、パスワードに関連した攻撃の「99％以上を防ぐことができた」と主張する。

　こうした成果を踏まえ、AWSは2025年春からAWS Organizationsの管理アカウントだけではなくメンバーアカウントに対しても、MFAを必須にする計画だ。

　クロウ氏は「管理アカウントやスタンドアロンアカウントへの拡大と同様、段階的にMFAの要件を適用する」と説明する。対処が必要なエンドユーザーには事前に通知し、日常業務に支障を来たさないように支援する方針だ。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国TechTargetの記事を翻訳して国内向けにお届けします。