FIDOアライアンス、CISAのMFAガイド更新を歓迎:知っておくべきことはこれだ
米国国土安全保障省(DHS)のサイバーセキュリティ&インフラセキュリティ局(CISA)は最近、最新の多要素認証(MFA)ガイドを発表した。その中でCISAは、FIDOをMFAのゴールドスタンダードと位置づけている。
認証標準の開発と普及を目指すオープンな業界団体であるFIDOアライアンスは、この進展を歓迎している。今回のアップデートは、パスワードへの世界の過度な依存を減らすというFIDOのミッションに沿ったものだ。これと新しい連邦ゼロ・トラスト戦略により、米国政府はFIDO標準の使用が望ましいという明確なメッセージを送ったと見られる。
MFAとは何か?
認証は、サイバーセキュリティを確保する方法の一つである。認証とは、ある人物の身元と認証情報を検証し、その人物が本人であることを確認するプロセスである。セキュリティをさらに強化するために、多要素認証が導入された。二要素認証とも呼ばれる。
その名が示すように、認証方法の組み合わせが含まれる。例えば、ユーザーがオンラインや銀行のモバイルアプリから銀行口座にアクセスしたいとする。その場合、知識、所有、または特徴を使用するMFAを通過しなければならない。
複数のステップを持つことで、ハッカーがアカウントをクラックしたり、盗んだり、侵害したりすることが難しくなる。
MFAの有効化
CISA は、計画から実行段階までの詳細なガイドを提供しています。組織は、これを利用して認証プロセスを強化することができます。
しかし、MFAガイダンスの最新の更新では、MFAを有効にする方法が強調された。同庁が列挙したさまざまな認証形式には、テキストメッセージ(SMS)、電子メール、認証アプリ、プッシュ通知がある。
さらに、CISAはFIDOキーの使用についても言及した。
Fast Identity Online(FIDO)とは、パスワードへの依存を減らしつつ、サイバーセキュリティを確保するのに役立つ標準化された認証プロトコルのセットを指しています。主要なブラウザやスマートフォンに組み込まれています。一方、FIDOキーとは、携行可能なセキュリティキーを指しています。MFAの一部として追加認証方法として使用するハードウェア・デバイスです。家の鍵の暗号化バージョンと考えることができます。
このようなセキュリティ対策は、情報へのアクセスをより困難にするのに役立ちます。パスワードやユーザー名が、フィッシングやより巧妙なパスワード・クラッキングのような様々な攻撃によって危険にさらされることが多い昨今、特に必要とされている。
さらにCISAは、電子メール・アカウント、金融サービス、ソーシャル・メディア・アカウント、オンライン・ストア、さらにはゲームやエンターテインメントのストリーミング・サービスでも多要素認証を使用することを推奨した。CISAはまた、消費者に対し、より良いセキュリティのためにMFAを有効にするよう企業や組織に要請するよう奨励した。