AWS(IAM)でFIDO2が使えるように！？

2023-08-29

こんにちは。SCSKセキュリティプロダクト部Yubicoチームです。

先日AWS(IAM)のGovCloud (米国東部および米国西部) リージョンでFIDO2のプロトコルがサポートされると発表がありました。（現時点で東京や大阪リージョン等はサポート対象外です。）

現在サポートされているFIDO認証方式

これまでAWS(IAM)ではFIDO認証をサポートしていたものの、FIDO U2Fのみのサポートとなり、YubiKeyを利用して認証する場合は、「パスワード＋YubiKeyへタッチ」で認証しておりました。

FIDO2認証がサポートされるとパスワードは不要となり、「PIN＋YubiKeyへタッチ」または「YubiKeyへの指紋認証」どちらかで認証することが可能となります。

そのため、FIDO U2Fで認証する場合はパスワードを用いた認証方式となりますが、FIDO2サポートによりパスワードをシステムへ渡さずに認証する方式である、パスワードレス認証でログインすることが可能となります。

PINとパスワードはどちらもユーザーが入力するという点では変わりないですが、使われ方には違いがあります。

パスワードは認証する側のサーバーへ保存し、ユーザー認証に使いますが、PINはデバイス内に保存され、YubiKey等の認証機の解除に利用されます。そのためPINはネットワークに流れず、リモートからの攻撃を受けることがありません。

今回発表があったAWSのFIDO2対応は、GovCloud (米国東部および米国西部) リージョンのみのサポートとなり、米国政府機関向けのAWSのみ利用できます。

そのため、現時点では東京リージョン含めた一般ユーザー向けのリージョンでは利用できません。

将来的には多くのリージョンでサポートされる可能性が高いと思います。

AWS GovCloud(米国)については下記ページを参考にして下さい。

FIDO2サポートの詳細は下記ページを参考にしてください。

YubiKeyはFIDO U2F、FIDO2ともにサポートしており、対応している製品ラインナップは下記の通りとなります。FIDO2対応の○はFIDO U2F、FIDO2共に利用できることを示しております

また、FIDO U2F、FIDO2の他に、ワンタイムパスワード（OTP）や証明書（PIV）として使える機種もあります。

YubiKeyに関するご相談・お問合せは、お気軽に弊社までお問合せください。

ご質問、ご相談、お見積もりなどお気軽にお問い合わせください。

　プロダクト･サービス事業グループ
　ネットワークセキュリティ事業本部
　セキュリティプロダクト第二部

よかったらシェアしてね！