米政府、リモートや管理者アクセス時の「単一要素認証」を悪習リストに追加

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、リモートや管理者としてシステムへアクセスする際に単一要素認証を利用することを「バッドプラクティス」のリストに追加した。

米政府では、リスクを増大させる「バッドプラクティス」のリストを6月に公開。避けるべき悪習を広く網羅したものではなく、あくまで基本的な問題ある実装を示したものだが、従来のベストプラクティスとあわせて公開することで別の観点から注意喚起を行っている。

今回あらたにリモートアクセスや管理者権限によるアクセス時に「単一要素認証」を用いることを「バッドプラクティス」に追加した。強力な認証を実装するためのガイダンス「Implementing Strong Authentication」も公開しており、活用を呼びかけている。

「バッドプラクティス」のリストは、特に重要インフラや国家重要機能（NCF）に携わる組織で実施していると、国家安全保障、経済、公衆衛生、生命などへ影響を及ぼしかねない危険な行為としているが、これら組織に限定されるものではなく、すべての組織において「バッドプラクティス」の解消に向けた行動を取ることを推奨している。

（Security NEXT - 2021/08/31 ） ツイート

PR

関連記事

個情委がTVアニメ「進撃の巨人」とコラボ - 名簿流出防止を呼びかけ
「WordPress」における不用意な露出に注意 - 攻撃の糸口となることも
「セキュリティ10大脅威2024」 - 個人の脅威は順位表示を廃止
年末年始に備え、セキュリティ対策を - 月例パッチは年明け1月9日
危険な脆弱性タイプ、2023年の「トップ25」
スマホ利用シーンの脅威トップ10を発表 - JSSEC
アプリの4.5％に「緊急」とされる脆弱性 - Synopsys調査
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
国内企業の4割がCISOを設置 - 経営層の専任は2.9％
4人に1人は機密性高いPDFファイルでもPWや権限を設定せず