米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)が1要素認証(SFA:Single Factor Authentication)を非推奨とした様です。
www.bleepingcomputer.com
単一要素認証(SFA)は、米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)によって、それが推奨するサイバーセキュリティの悪い慣行の非常に短いリストに本日追加されました。
CISAのBadPracticesカタログには、連邦政府機関が「非常に危険」と見なし、政府や民間部門の組織がシステムを脅威アクターに侵害されるという不必要なリスクにさらされているため、使用されないと見なされた慣行が含まれています。
これらは、国家の安全と経済の安定、および国民の安全に責任を負う重要インフラストラクチャまたは国家重要機能(NCF)をサポートする組織にとって非常に危険です。
さらに、これらの危険な慣行は、インターネットにさらされたシステムでは「特にひどい」ものであり、脅威の攻撃者がリモートで標的にして侵害する可能性があります。
・BAD PRACTICES
キタきつねの所感
いまさらCISAが多要素認証を推すのか、といった見方も出来るかも知れませんが、BEST PRACTICES(最良事例)の反表現となる、BAD PRACTICES(悪い事例)に挙げたという所に、この影響が今後広がっていく事を予感させます。
セキュリティ関係に携わる方はご存じの方も多いかと思いますが、CISAは米国国土安全保障省(DHS)配下で、情報セキュリティとインフラの安全に関する国家的リスクの助言を行う組織です。
en.wikipedia.org
ここで出されるガイダンスは、政府機関向けという訳ではなく「民間企業」も対象である事から、日本企業・組織も、このBAD PRACTICESへの追加を留意すべきだと言えます。
CISAはサイバーセキュリティに関する様々なガイダンスや注意喚起を出していますが、実はこのBAD PRACTICESリストは非常に”短い”ものとなっています。
このリストを見てみると、「意外に少ない」事に驚きます。
・重要インフラストラクチャおよび国家重要機能のサービスでサポートされていない(または寿命が尽きた)ソフトウェアを使用することは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生と安全に対するリスクを大幅に高めます。この危険な慣行は、インターネットからアクセスできるテクノロジーでは特にひどいものです。
・重要インフラストラクチャおよび国家重要機能のサービスで既知/固定/デフォルトのパスワードおよびクレデンシャルを使用することは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生および安全に対するリスクを大幅に高めます。この危険な慣行は、インターネットからアクセスできるテクノロジーでは特にひどいものです。
・重要インフラストラクチャおよび国家重要機能(NCF)の運用をサポートするシステムへのリモートアクセスまたは管理アクセスに単一要素認証を使用することは危険であり、国家安全保障、国家経済安全保障、および国家公衆衛生と安全に対するリスクを大幅に高めます。この危険な慣行は、インターネットからアクセスできるテクノロジーでは特にひどいものです。
(CISA-BadPracticesより引用)※機械翻訳
3つしかリスト掲載がありません。
勿論、今後増えていくリストである事は間違いないとして、この非推奨の裏側にある、最良事例である「サポートされているソフトの使用」、「強力なパスワード使用」というセキュリティの中での”常識”に加えて、今回「多要素認証」が入ったと考えると、1要素認証はCISAがこのリストを更新する程に危険水域に達したと考えても良いのではないでしょうか。
併せて、「脆弱なパスワードの使用」がリストから外されなかった点にも、CISAの”意図”を感じます。多要素認証を導入したとしても、そのうちの1要素がIDとパスワードである事を考慮し、引き続き「強力なパスワード」を使用する事が重要である事を示唆している気がします。
余談です。CISAのサイバーセキュリティコンテンツは、このリスト以外にも豊富にコンテンツ公開されています。英語サイトではありますが、一読されると色々な気づきがあるかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴