AWS MFA(多要素認証)制御は、IAMポリシーの条件キーを使用してアクセスレベルでMFA要件を強制する仕組みです。単にMFAデバイスを設定するだけでなく、aws:MultiFactorAuthPresent条件キーにより、実際にMFAが使用されたセッションのみにアクセスを許可します。

実際の運用では、AWS CLI/API環境での特殊な実装方法とクロスアカウントアクセス時の信頼ポリシー設定が重要な要素となります。

AWS MFA制御に関する試験問題では、以下の3つのパターンが重要です。

AWS CLIでMFA要件を強制する場合の特殊な実装方法です。長期認証情報（アクセスキー）にはMFA情報が含まれないため、一時的な認証情報を取得する必要があります。

図の左側の開発者から始まり、右側のIAMポリシーにaws:MultiFactorAuthPresent条件が設定されています。この条件により、MFA認証されていないセッションからのAPIコールはすべて拒否されます。

赤色のフローでは、長期認証情報（アクセスキー/シークレットキー）を直接AWS CLIで使用した場合、MFA情報が含まれないため、IAMポリシーによってアクセスが拒否されます。

緑色のフローでは、以下の手順でMFA認証済みセッションを確立します：

この一時認証情報を使用したAWS CLIセッションは、IAMポリシーのaws:MultiFactorAuthPresent条件を満たすため、右側のAWSリソースへのアクセスが許可されます。

複数のAWSアカウント間でのロール引き受け時にMFA要件を強制する実装パターンです。権限ポリシーではなく信頼ポリシーに条件を設定することが重要です。

図の右側のアカウントBには、医師と放射線技師のIAMユーザーに職種や部門の属性タグ（Department、JobRole）が設定されています。左側のクロスアカウントアクセスセクションでは、AssumeRole実行時に信頼ポリシーで以下の条件がチェックされます：

中央のアカウントAでは、医療ロールと放射線ロールにそれぞれ対応するタグが設定されており、属性ベースアクセス制御（ABAC）とMFA要件の両方を満たした場合のみロール引き受けが許可されます。最終的に、ABAC制御を通じて診断画像バケットや医療記録バケットへのアクセスが動的に制御されます。

MFA認証失敗の急増や異常なログインパターンを自動検出し、セキュリティインシデントとして対応するための監視アーキテクチャです。

左側のユーザーアクティビティから正常ログインと異常ログイン（複数リージョン・異常時間・MFAなし）が発生します。中央左のマルチリージョンログ記録セクションでは、CloudTrailがすべてのAPI呼び出しを記録し、CloudWatch Logsに送信後、メトリクスフィルターが特定パターンを検出してカウントします。

中央右の異常検出システムでは、CloudWatch異常検出が機械学習により通常パターンを学習し、統計的異常を自動検出します。異常検出時はCloudWatchアラームが作動し、右側の通知・対応システムのSNS経由でセキュリティチームに即座に通知されます。

右下の統合ダッシュボードにすべての検出結果が集約され、MFA認証失敗率、地理的分散アクセス、異常時間帯アクセスをリアルタイムで監視できます。

ここまで学んだ3つのパターンを、実践的な問題で確認しましょう。各問題はMFA制御の特殊な実装要件に焦点を当てています。

AWS MFA制御は、条件キーベースの認証制御において最も重要なセキュリティ機能です。3つの実装パターンを理解することで、様々なシナリオに対応できます。

これらのパターンを組み合わせることで、包括的なMFAセキュリティ戦略を構築できます。