Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米政府、リモートや管理者アクセス時の「単一要素認証」を悪習リストに追加

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、リモートや管理者としてシステムへアクセスする際に単一要素認証を利用することを「バッドプラクティス」のリストに追加した。

米政府では、リスクを増大させる「バッドプラクティス」のリストを6月に公開。避けるべき悪習を広く網羅したものではなく、あくまで基本的な問題ある実装を示したものだが、従来のベストプラクティスとあわせて公開することで別の観点から注意喚起を行っている。

今回あらたにリモートアクセスや管理者権限によるアクセス時に「単一要素認証」を用いることを「バッドプラクティス」に追加した。強力な認証を実装するためのガイダンス「Implementing Strong Authentication」も公開しており、活用を呼びかけている。

「バッドプラクティス」のリストは、特に重要インフラや国家重要機能(NCF)に携わる組織で実施していると、国家安全保障、経済、公衆衛生、生命などへ影響を及ぼしかねない危険な行為としているが、これら組織に限定されるものではなく、すべての組織において「バッドプラクティス」の解消に向けた行動を取ることを推奨している。

(Security NEXT - 2021/08/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

2021年2Qの標的型攻撃に関する情報共有は40件 - J-CSIP
公共空間における安全なワイアレス通信でガイダンス - 米NSA
MITRE、危険な脆弱性タイプのトップ25を発表
2020年度下半期の「J-CRAT」相談は201件 - レスキュー支援が増加
米政府、サイバー空間の「バッドプラクティス」をリスト化
無線LANのセキュ対策学べるオンライン講座 - 総務省
米NSA、脆弱なTLS構成の利用排除を要請
30〜40代、3割超がネットトラブル経験 - ネットリスク理解8割
Fortinet製VPN使う脆弱なホスト情報が公開 - 平文パスワードなども
検索リスクの高い有名人、半数がミュージシャン