JAWS-Oita月例会

MFA(2段階認証)でセキュリティ強化～Authyの設定

JAWS-Oita 藤野幸嗣

2014/9/29 1

JAWS-Oita月例会

ネット上にPDF置いてます。

　「fujino.com」

で検索かけてください。

2014/9/29 2

JAWS-Oita月例会

はじめに謝辞■ この資料は以下の2つの記事を参考にさせていただきました。 「AWSアカウント作ったらこれだけはやっとけ！IAMユーザーとAuthyを使ったMFAで2段階認証」 「Authy: 2段階認証のコードをまとめて管理! 紛失時の復元・データ同期もできる。」

2014/9/29 3

JAWS-Oita月例会

MFA～2段階認証とは？■ Multi Factor Authenticationに対応したデバイスを使う。

■ ログインの際にIDとパスワードだけではなくさらにパスワードが必須に。

■ IDとパスワードのセット+「ワンタイムパスワード」を使ってセキュリティレベルを上げること。

■ パスワードの漏洩に対する唯一の対策。2014/9/29 4

JAWS-Oita月例会

2段階認証の認知度は低い

2014/9/29 5

JAWS-Oita月例会

2段階認証のバチモン■ たんにパスワードを2重にするだけのものまで「2段階認証」と呼んでいることがある。 ※JALマイレージで利用者の誕生日を入れさせるなど。 →セキュリティの強化になっているか疑問。2014/9/29 6

JAWS-Oita月例会

ワンタイムパスワードの仕組■ 対応したID毎にランダムに数字の列を発行するサーバーを設置する。 →この数列は一定時間（30秒が多い）たてば無効になる。 ワンタイム（一度限りの）パスワード 表示させるための機器→MFAデバイス ハードとアプリ（バーチャルMFA)があります。2014/9/29 7

JAWS-Oita月例会

ハードウェア MFA デバイス

2014/9/29 8

Compliant to OATH open standard (time based - 6 digits)

AmazonUSAで販売

12.99$

19.99$

JAWS-Oita月例会

ワンタイムパスワードの受信■ MFA（専用トークン）で受信 ■ 電話番号を登録してSMSで受信。 ■ モバイル公式アプリで対応 →Facebookなど。 ■ 認証専用アプリを使って受信 　「Google Authenticator」 「Authy」など。 2014/9/29 9

JAWS-Oita月例会

2段階認証アプリ■ Android Google Authenticator AWS Vitual MFA →日本だと使えない？ Authy ■ iPhone Google Authenticator HDE OTP Generator Authy2014/9/29 10

JAWS-Oita月例会

Googleの２段階認証■ 手軽に導入できるけれど、設定にはそれなりの知識が必要になります。

■ モバイルで２段階認証に対応していないアプリから各種のGoogleサービスを使おうとすると、専用のパスワードが必要になります。

■ →Googleアカウントの設定 　→バックアップコード2014/9/29 11

JAWS-Oita月例会

Googleアカウントの確認

2014/9/29 12

JAWS-Oita月例会

Googleアカウントの設定

2014/9/29 13

JAWS-Oita月例会

GoogleAuthenticator■ 手軽に導入できますが、設定が出来る端末が一台のみ。

■ 紛失や再セットアップの際のリカバリーがかなり面倒。

■ バックアップも面倒。

2014/9/29 14

JAWS-Oita月例会

Google～2段階認証の設定

2014/9/29 15

JAWS-Oita月例会

Authyについて■ 2段階認証専用のアプリ ■ iOS用、Android用、Chromeプラグインがあります。

2014/9/29 16

JAWS-Oita月例会

Authyのインストール１．まず、アプリをモバイル機器にダウンロードします。 ２．PCのブラウザからGoogleの設定画面を表示します。 https://www.google.com/settings/ セキュリティ→2段階認証プロセス 確認コード→QRコードを表示させてAuthyを立ち上げてAddすることで登録できます。 確認できた6桁のコードを入力して登録終了です。2014/9/29 17

JAWS-Oita月例会

Authyのセットアップ

2014/9/29 18

電話番号を入力

電話（自動音声） かSMSで

アクティベートします

送られた番号 を入力します。

JAWS-Oita月例会

Googleの設定画面

2014/9/29 19

JAWS-Oita月例会

Authyの設定

2014/9/29 20

JAWS-Oita月例会

Authyが使えるサービス■ Google、GoogleApps、Facebook、Microsoft、Evernote、Dropbox、LastPass、そしてAmazonAWSなど沢山。

■ 使えない主なサービス →Apple、Yahoo!、Twitter2014/9/29 21

JAWS-Oita月例会

AWSでAuthyを設定する

2014/9/29 22

JAWS-Oita月例会

SecurityStatus→MFA

2014/9/29 23

JAWS-Oita月例会

画面に従って、次へ

2014/9/29 24

JAWS-Oita月例会

QRコードをAuthyで読む

2014/9/29 25

上にまず、数字を入力 30秒後に表示される数字を下に入力

JAWS-Oita月例会

Authy～AWSの設定

2014/9/29 26

JAWS-Oita月例会

AWSのロゴの表示を確認

2014/9/29 27

JAWS-Oita月例会

6桁の数字が表示される

2014/9/29 28

Authyに表示されている数字を「Authentication Code 1」に入力、 時間が経過し、次にAuthyに表示される数字を「Authentication Code 2」に入力したら次へ

JAWS-Oita月例会

登録が終了しました。

2014/9/29 29

JAWS-Oita月例会

Authyのメニュー次回rootアカウントでAWSにログインするときは、AuthyのメニューでAWSを選び、画面に表示される6桁の数字を入力するとログインできるようになる。

2014/9/29 30

JAWS-Oita月例会

IAMユーザーに権限を

2014/9/29 31

JAWS-Oita月例会

新しいIAMUserをつくる

2014/9/29 32

JAWS-Oita月例会

適当な名前をいれます

2014/9/29 33

JAWS-Oita月例会

新しいユーザーが作成された

2014/9/29 34

Credentialも保管しておくこと

JAWS-Oita月例会

ユーザーの確認

2014/9/29 35

JAWS-Oita月例会

ユーザーポリシーの確認

2014/9/29 36

JAWS-Oita月例会

ユーザーポリシーの設定

2014/9/29 37

■ 該当のIAMユーザーができたら、再度選択し、Permissionsの欄から「Attach User Policy」を選択します。

JAWS-Oita月例会

ユーザーポリシーの設定画面■ このIAMユーザーに設定する権限のポリシーを選択します。今回は「Administrator Access」を選択しました。

2014/9/29 38

JAWS-Oita月例会

IAMユーザーにMFAを設定

2014/9/29 39

JAWS-Oita月例会

パスワードの設定IAMユーザーの管理画面に戻り、「Manage Password」をクリック

2014/9/29 40

JAWS-Oita月例会

MFAデバイスの設定

2014/9/29 41

JAWS-Oita月例会

MFAを設定する■ rootユーザーにMFAを設定したように、このIAMユーザーにもMFAを設定します

2014/9/29 42

JAWS-Oita月例会

ユーザーグループも必要なら

2014/9/29 43

JAWS-Oita月例会

PasswordPolicyの設定

2014/9/29 44

JAWS-Oita月例会

サインするためのリンク■ IAM users sign-in linkのカスタマイズ

2014/9/29 45

JAWS-Oita月例会

ログインできる確認します。■ IAM users sign-in linkからIAMユーザーのMFAでログインできることを確認したら完了

2014/9/29 46

JAWS-Oita月例会

MFAデバイスを紛失した！■ 各サービスで対処方法が異なります。 →リカバリー方法をよく確認しておきましょう。 ■ Authyの場合バックアップ端末を使ってログインして、該当するMFAを無効化できます。

■ バックアップが無ければ専用の窓口から電話で対応となるようです。2014/9/29 47

JAWS-Oita月例会

Authyを他の端末で使う設定から Multi-deviceを オンにする。

2014/9/29 48

JAWS-Oita月例会

他の端末にAuthyをセット■ Authyアプリをインストールして 　Bluetoothで相互接続をすることで 　他の端末でもAuthyを使うことができます。 何台でも増やせるようです。 ※ただしセキュリティレベルが下がるので必要最小限にとどめることをお薦めします。2014/9/29 49

JAWS-Oita月例会

Authyをブラウザで使う

2014/9/29 50

JAWS-Oita月例会2014/9/29 51

And three more things…

JAWS-Oita月例会

パスワード管理アプリ■ Last Pass　ブラウザの機能拡張 　モバイルアプリは月１＄ ■ PasswordBox 機能拡張とモバイルアプリ 25箇所まで無料。 ■ １Password アプリとプラグイン（高いけど） iOS版が無料になった。2014/9/29 52

JAWS-Oita月例会

これで、おしまいです。ありがとうございました。

2014/9/29 53