AWS(IAM)でFIDO2が使えるように!?

こんにちは。SCSKセキュリティプロダクト部Yubicoチームです。

先日AWS(IAM)のGovCloud (米国東部および米国西部) リージョンでFIDO2のプロトコルがサポートされると発表がありました。(現時点で東京や大阪リージョン等はサポート対象外です。)

現在サポートされているFIDO認証方式

これまでAWS(IAM)ではFIDO認証をサポートしていたものの、FIDO U2Fのみのサポートとなり、YubiKeyを利用して認証する場合は、「パスワード+YubiKeyへタッチ」で認証しておりました。

FIDO2認証がサポートされるとパスワードは不要となり、「PIN+YubiKeyへタッチ」または「YubiKeyへの指紋認証」どちらかで認証することが可能となります。

そのため、FIDO U2Fで認証する場合はパスワードを用いた認証方式となりますが、FIDO2サポートによりパスワードをシステムへ渡さずに認証する方式である、パスワードレス認証でログインすることが可能となります。

PINとパスワードの違い

PINとパスワードはどちらもユーザーが入力するという点では変わりないですが、使われ方には違いがあります。

パスワードは認証する側のサーバーへ保存し、ユーザー認証に使いますが、PINはデバイス内に保存され、YubiKey等の認証機の解除に利用されます。そのためPINはネットワークに流れず、リモートからの攻撃を受けることがありません。

どのリージョンでいつからFIDO2を利用できるのか

今回発表があったAWSのFIDO2対応は、GovCloud (米国東部および米国西部) リージョンのみのサポートとなり、米国政府機関向けのAWSのみ利用できます。

そのため、現時点では東京リージョン含めた一般ユーザー向けのリージョンでは利用できません。

将来的には多くのリージョンでサポートされる可能性が高いと思います。

参考

AWS GovCloud(米国)については下記ページを参考にして下さい。

AWS GovCloud (米国) – アマゾン ウェブ サービス (amazon.com)

FIDO2サポートの詳細は下記ページを参考にしてください。

AWS IAM が AWS GovCloud (米国) リージョンでの多要素認証用 FIDO2 をサポート (amazon.com)

さいごに

YubiKeyはFIDO U2F、FIDO2ともにサポートしており、対応している製品ラインナップは下記の通りとなります。FIDO2対応の○はFIDO U2F、FIDO2共に利用できることを示しております

また、FIDO U2F、FIDO2の他に、ワンタイムパスワード(OTP)や証明書(PIV)として使える機種もあります。

YubiKeyに関するご相談・お問合せは、お気軽に弊社までお問合せください。

お問い合わせ

ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。

 プロダクト・サービス事業グループ
 ネットワークセキュリティ事業本部
 セキュリティプロダクト第二部

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人