連邦政府のゼロ・トラスト戦略でサイバーセキュリティのためのMFAが強調される
サイバーセキュリティは、米国が直面している喫緊の課題のひとつである。脅威は政府、組織、機関、そして個人にまで影響を及ぼしている。
Identity Theft Resource Center(ITRC)によると、2021年1月から9月までに米国で公に報告されたデータ漏洩は1291件で、約2億8100万人に影響を与えた。比較すると、この合計は2020年の同時期に記録された情報漏洩よりも17%多い。
政府の取り組み連邦ゼロ・トラスト戦略
この問題に対処するため、政府はサイバーセキュリティを向上させる方法を模索している。2022年1月26日、連邦ゼロ・トラスト戦略が発表された。行政管理予算局(OMB)は、この戦略を覚書M-22-09として公表した。ゼロ・トラスト・サイバーセキュリティ原則に向けて米国政府を動かす。
この動きは、政府全体の取り組みを通じてより良いセキュリティ・アプローチを推進し、アクセス制御の面で新たな基準を設定することを目的としている。強調すべき重要な点は、フィッシングに強い多要素認証(MFA)を優先的に使用することである。さらに、保護と監視を強化するためにIDシステムを統合する必要もある。
戦略を理解する
戦略の中核にあるのは、ビジョンとアイデンティティに関する行動という2つの主眼である。
一般的に、政府機関の職員は、業務で使用するアプリケーションにアクセスするために、企業で管理されたIDを使用しなければならない。より巧妙なサイバー攻撃から職員を守るためには、フィッシングに強い多要素認証を導入する必要がある。
つの行動を取らなければならない。
第一に、各機関は利用者の集中管理システムを持つべきである。
第二に、組織全体で強力なMFAを使用することである。具体的には、全機関のスタッフ、請負業者、パートナーはフィッシングに強いMFAを使わなければならない。一方、一般ユーザーにもこのオプションを与えるべきである。さらに、パスワードに特殊文字を使用したり、パスワードを定期的にローテーションしたりする必要はない。
第 3 に、機関は、リソースにアクセスする権限をユーザに与えるときに、少なくとも 1 つのデバイス・レベルのシグナルを持つことを考慮すべきである。この信号は、認証されたユーザーに関する ID 情報と並ぶ追加セキュリティである。
FIDOスタンダード
この戦略の発表を通じて、連邦政府はFIDO2標準の使用も奨励した。このように、フィッシングに強い多要素認証の利用を促進し、人々のパスワードへの過度な依存を減らすというFIDOアライアンスの努力をさらに認めることになる。
FIDO2 は FIDO アライアンスの最新仕様である。Web認証(WebAuthn)仕様とClient-to-Authenticator Protocol(CTAP)が含まれる。FIDO2プロジェクトの詳細は こちら。