VMware Cloud サービスを利用するユーザーは、アカウント認証に多要素認証（Multi-Factor Authentication）の仕組みを取り入れてセキュリティを強化することができます。今回は VMware Cloud on AWS のユーザーを例に挙げながら、VMware Cloud サービスの多要素認証についてご紹介します。

VMware Cloud サービスのアカウントと認証の仕組み

はじめに、VMware Cloud サービスの認証と VMware Cloud on AWS にアクセスする仕組みについて整理しておきましょう。

VMware Cloud サービスには、組織という概念があります。組織の中でアカウント（ユーザーやグループ）を作成して管理します。組織には「オーナー」と「メンバー」というロールがあり、オーナーはメンバー（各ユーザー）に組織の権限を割り当てます。尚、オーナー（およびサポートに関連するロールを割り当てられたユーザー）は、サービス料金の支払いや VMware のサポートサービスを受ける目的で VMware Customer Connect (旧 My VMware) のアカウントとリンクした状態で使用いただきます（図1）。

さらに、オーナーは各ユーザーに対して使用を許可するサービスを割り当てて、そのサービスに定められているロールを併せて付与します。例えば、あるユーザーを VMware Cloud on AWS にアクセスさせるには、オーナーがそのユーザーに VMware Cloud on AWS サービスに対するアクセスを許可し、同時に VMware Cloud on AWS 専用のロールを割り当てます。これらの設定が適用された後で、そのユーザーは付与されたロールの権限に基づいて VMware Cloud on AWS にアクセスします。

図1 VMware Cloud サービスにおけるアカウント管理と各サービスへのアクセス制御

次に、VMware Cloud サービスのアカウント認証について整理しておきましょう。VMware Cloud サービスに登録（招待）されたユーザーは、VMware Cloud サービスにアクセスしてログインします。ユーザーは ID とパスワードで認証されますが、VMware Customer Connect と連携させて認証させる方法や企業が保有しているシングルサインオン（SSO）と認証機構を使って認証することもできます。

例えば、予め VMware Cloud サービスの認証手段の設定において、企業が保有する認証機構と連携させる設定（「フェデレーション ID 管理」と呼びます）を施しておけば、ユーザーがログインする時にシングルサインオン（SSO）の要領で認証させることができます（図2）。企業保有の認証機構との連携方法については、ドキュメント「VMware Cloud の使用 – フェデレーション ID 管理の設定」およびナレッジベース「Federation Self-Service Flow Process & Overview」ご覧ください。

図2 フェデレーション ID 管理と認証のイメージ図

VMware Cloud サービスの多要素認証サポート

前置きが長くなりましたが、VMware Cloud サービスでは、ユーザーのログイン認証において多要素認証をサポートしています（図3）。多要素認証を組み合わせることによって、情報セキュリティや各種コンプライアンス認定が要求する条件にも対応でき、不正アクセスに対するリスクを大幅に低減できます。

図3 VMware Cloud サービス向け多要素認証の構成イメージ

2017年にアメリカ国立標準技術研究所 (NIST) が実質的に世界標準として認識されている「電子的認証に関するガイドライン(Digital Identity Guideline)」を発表した際、パスワード管理に関するガイドラインが大きく変更され、世間の話題になりました。その後、パスワード認証の限界が認知され、多要素認証を取り入れる動きはすでに一般化しています。

前出のガイドラインでも定義されている通り、多要素認証は認証に必要とされる三つの要素（知識情報、所持情報、生体情報）のうち、二つ以上を組み合わせて認証する考え方です。VMware Cloud サービスでは、「Authenticator デバイス（または多要素認証デバイス）」による二要素認証をサポートしています。Authenticator デバイスで発行される認証コードを使って VMware Cloud サービスにログインすることが可能になります。

多要素認証は、組織のオーナーがユーザー単位で設定します。多要素認証を有効化したのち、Authenticator デバイスを登録することで設定は完了します（図3）。

サポートされているデバイスとアプリケーションは？

Authenticator デバイスは、スマートフォンなどのモバイルデバイスに認証アプリケーションをダウンロードして構成します。これで「仮想 Authenticator デバイス」が作成され、認証アプリケーションによって 6 桁の認証コードが生成されるようになります。その後、VMware Cloud サービスのポータル画面からデバイスを登録します（図4）。

図4 多要素認証の設定画面サンプル（VMware Cloud サービスポータル）

現時点で Authenticator デバイスとしてサポートされている製品とアプリケーションは下記の通りです。デバイスによってサポートするアプリケーションが異なるのでご注意ください。詳しくは、ドキュメント「VMware Cloud の使用 – 多要素認証を使用したアカウントの保護」およびナレッジベース「Multi Factor Authentication (MFA) on My VMware」ご覧ください。

Authenticator デバイス

iOS
Android
Windows Phone
Blackberry

認証アプリケーション

Google Authenticator
Duo Mobile
Authenticator

VMware Cloud on AWS 管理者とエンドユーザーとの認証の違い

最後に、VMware Cloud on AWS の管理者とエンドユーザーの認証について整理しておきましょう。VMware Cloud on AWS サポートしている多要素認証は、VMware Cloud サービスのアカウントに対して適用されます。つまり、VMware Cloud on AWS 上のワークロード（アプリケーション）のエンドユーザーの認証には適用されませんのでご注意ください（図5）。

図5 VMware Cloud on AWS におけるユーザーとエンドユーザーの認証との違い

VMware Cloud on AWS を使用する上で VMware Cloud サービス上にアカウント登録が必要なユーザーは、サービスの契約者とクラウド／ネットワーク管理者です。管理者は、主に SDDC の展開やホストの構成、ネットワークの構成などサービスのインフラ全体を構成する権限を持っています。

一方、VMware Cloud on AWS 上で動作するアプリケーションを使用するエンドユーザーは、VMware Cloud サービス上にアカウントを作成する必要はありません。エンドユーザーがVMware Cloud on AWS の環境にアクセスする場合は、既存の認証機構などを利用してアプリケーションや仮想マシン（OS）にログインします。この時、エンドユーザーはインターネットや専用回線を経由して VMware Cloud on AWS にアクセスします。

また、 vCenter だけ使用する仮想化インフラ運用／管理者の場合は、VMware Cloud サービスにアカウントを作成せず、インターネットや専用回線経由で直接アクセスさせることもできます。この時、vCenter へのログイン認証は外部 ID ソースを追加することで、既存の認証機構（例えば Active Directory など）と連携させておくことも可能です。

まとめ

多要素認証の活用により、不正ログインのリスクを大幅に低下させ、より安全に VMware Cloud on AWS を利用できます。

さらに、VMware Cloud サービスではログイン元の IP アドレス（またはネットワーク範囲）を使ってアクセス制御する機能も使えます。多要素認証と IP アドレスによるアクセス制御を併用すれば、ログインに関わるセキュリティをさらに強化できます。詳細は、ブログ「VMware Cloud コンソールへのアクセス制御」をご覧ください。

VMware Cloud on AWS の多要素認証 (MFA) サポート