翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 多要素認証
****
- **組織がインターネットで公開しているサービスで組織ユーザーを認証する場合は、多要素認証を適用しています。**
- **実装のガイダンス:** [テーマ 4: ID の管理](theme-4.md): ID フェデレーションの実装 / **AWS リソース:** [人間のユーザーに、一時的な認証情報 AWS を使用して にアクセスすることを ID プロバイダーと連携させる](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
[AWS 環境への一時的な昇格アクセスを実装する](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) / **AWS Well-Architected ガイダンス:** [SEC02-BP04 一元化された ID プロバイダーを利用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
- **実装のガイダンス:** [テーマ 4: ID の管理](theme-4.md): MFA の強制 / **AWS リソース:** [ルートユーザーに MFA を求める](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
[を通じて MFA を要求する AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
[サービス固有の API アクションに MFA を要求することを検討する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa) / **AWS Well-Architected ガイダンス:** [SEC02-BP01 強力なサインインメカニズムを使用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
- **サードパーティーがインターネットで公開しており、組織の機密データの処理、保存、通信を行うサービスで組織ユーザーを認証する場合は、多要素認証を適用しています。**
- **実装のガイダンス:** 「[Implementing Multi-Factor Authentication](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-multi-factor-authentication)」(ACSC ウェブサイト) を参照してください。
- **AWS リソース:** 該当しない
- **AWS Well-Architected ガイダンス:** 該当しない
- **サードパーティーがインターネットで公開しており、組織の非機密データの処理、保存、通信を行うサービスで組織ユーザーを認証する場合は、多要素認証を適用しています (利用可能な場合)。**
- **組織がインターネットで公開しているサービスで組織以外のユーザーを認証する場合は、多要素認証をデフォルトで有効にしています (ただし、ユーザーはオプトアウトを選択可能)。**
- **システムの特権ユーザーを認証する場合は、多要素認証を適用しています。**
- **実装のガイダンス:** [テーマ 4: ID の管理](theme-4.md): ID フェデレーションの実装 / **AWS リソース:** [人間のユーザーに、一時的な認証情報 AWS を使用して にアクセスすることを ID プロバイダーと連携させる](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
[AWS 環境への一時的な昇格アクセスを実装する](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) / **AWS Well-Architected ガイダンス:** [SEC02-BP04 一元化された ID プロバイダーを利用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
- **実装のガイダンス:** [テーマ 4: ID の管理](theme-4.md): MFA の強制 / **AWS リソース:** [ルートユーザーに MFA を求める](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
[IAM Identity Center を通じて MFA を要求する](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
[サービス固有の API アクションに MFA を要求することを検討する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa) / **AWS Well-Architected ガイダンス:** [SEC02-BP01 強力なサインインメカニズムを使用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
- **重要なデータリポジトリにアクセスするユーザーを認証する場合は、多要素認証を適用しています。**
- **実装のガイダンス:** [テーマ 4: ID の管理](theme-4.md): MFA の強制
- **AWS リソース:** [サービス固有の API アクションに MFA を要求することを検討する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)
- **AWS Well-Architected ガイダンス:** [SEC02-BP01 強力なサインインメカニズムを使用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
- **認証側としてのなりすましを防ぐ仕組みとして多要素認証を取り入れ、次のいずれかを使用しています: ユーザーが所有している要素および知っている要素、もしくは、ユーザーがロックを解除できる要素 (既知の情報または自分自身の特徴)**
- **実装のガイダンス:** 「[Implementing Multi-Factor Authentication](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-multi-factor-authentication)」(ACSC ウェブサイト) を参照してください。
- **AWS リソース:** 該当しない
- **AWS Well-Architected ガイダンス:** 該当しない
- **成功した多要素認証と失敗した多要素認証を一元的にログに記録し、それらのログを不正な変更や削除から保護しています。また、侵害の兆候がないかをモニタリングし、サイバーセキュリティイベントが検出されたらそれらに対処します。**
- **実装のガイダンス:** [テーマ 7: ログ記録およびモニタリングの一元化](theme-7.md): ログ記録の有効化
[テーマ 7: ログ記録およびモニタリングの一元化](theme-7.md): ログを一元管理する
- **AWS リソース:** [監査と分析のために アカウントに CloudWatch Logs を一元化する](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/) (AWS ブログ記事)
[Amazon Inspector の管理を一元化する](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)
[Security Hub CSPM の管理を一元化する](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
[AWS Configで組織全体のアグリゲータを作成する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) (AWS ブログ記事)
[GuardDuty の管理を一元化する](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
[Security Lake の使用を検討する](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)
[複数のアカウントから CloudTrail ログを受信する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
[ログアーカイブアカウントにログを送信する](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)
- **AWS Well-Architected ガイダンス:** [SEC04-BP01 サービスとアプリケーションのログ記録を設定する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html)
[SEC04-BP02 標準化された場所でログ、検出結果、メトリクスをキャプチャする](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html)