Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米政府、リモートや管理者アクセス時の「単一要素認証」を悪習リストに追加

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、リモートや管理者としてシステムへアクセスする際に単一要素認証を利用することを「バッドプラクティス」のリストに追加した。

米政府では、リスクを増大させる「バッドプラクティス」のリストを6月に公開。避けるべき悪習を広く網羅したものではなく、あくまで基本的な問題ある実装を示したものだが、従来のベストプラクティスとあわせて公開することで別の観点から注意喚起を行っている。

今回あらたにリモートアクセスや管理者権限によるアクセス時に「単一要素認証」を用いることを「バッドプラクティス」に追加した。強力な認証を実装するためのガイダンス「Implementing Strong Authentication」も公開しており、活用を呼びかけている。

「バッドプラクティス」のリストは、特に重要インフラや国家重要機能(NCF)に携わる組織で実施していると、国家安全保障、経済、公衆衛生、生命などへ影響を及ぼしかねない危険な行為としているが、これら組織に限定されるものではなく、すべての組織において「バッドプラクティス」の解消に向けた行動を取ることを推奨している。

(Security NEXT - 2021/08/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

アプリの4.5%に「緊急」とされる脆弱性 - Synopsys調査
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
国内企業の4割がCISOを設置 - 経営層の専任は2.9%
4人に1人は機密性高いPDFファイルでもPWや権限を設定せず
IPA、独政府「産業制御システムの10大脅威」の日本語版を公開 - チェックリストも
ランサム攻撃に2割が支払い、4割は復旧できず
SNS利用者の約3割にリスクのある内容の拡散経験
2021年2Qの標的型攻撃に関する情報共有は40件 - J-CSIP
公共空間における安全なワイアレス通信でガイダンス - 米NSA
MITRE、危険な脆弱性タイプのトップ25を発表