サイバー脅威の先を行くことは、ほとんどの組織にとって絶え間ない課題であり、政府機関が継続的にガイドラインや要件を更新しているのもそのためである。
オーストラリア通信総局(ASD)はこのほど、以下の情報を更新した。 エッセンシャル・エイト-これは、最も頻繁に発生し、最も大きな影響を与えるサイバー攻撃から組織を防御するための「最も効果的な8つの」緩和策を示すもので、脅威行為者との継続的な戦いに役立つ多要素(MFA)に関する重要な新ガイドラインも含まれている。
多くの政府機関はエッセンシャルエイトに準拠することが求められているが、今回の更新を政府機関だけのコンプライアンス遵守のためのチェックボックスと見なすべきではない。むしろ、この更新は次のような機会を提供するものである。 すべての組織 このガイドラインを採用することで、サイバーセキュリティの枠組みを強化することができる。
エッセンシャルエイトの重要な変更点の一つは、FIDO2デバイスのようなフィッシングに強いMFAの使用を導入することを組織に求める新しい要件である。これは極めて重要な変更であり、最も一般的なサイバーセキュリティの脅威であるフィッシング攻撃に対する組織の防御メカニズムを大幅に向上させるものである。 IBM データ侵害のセキュリティ・コスト・レポート 2024年 によると、フィッシングに起因する情報漏えいの被害額は平均488万米ドルであった。
フィッシング攻撃が頻発し、その影響も大きいことから、RSAはオーストラリア・サイバーセキュリティセンター(ACSC)とASDが、組織のリスクを低減するという最終目標のもと、「成熟度レベル2」の態勢を達成するために、MFA導入の要件としてフィッシング攻撃を行うことを強く支持している。
FIDO2はオンライン認証に革命を起こすために設計された技術である。ウェブサイトへのログインをより安全かつ便利にする2つの部分からなるシステムだ。FIDO2を使用すると、従来のパスワードに頼る代わりに、生体認証(指紋など)、セキュリティキー、または携帯電話を使用してログインすることができます。FIDO2を利用することで、攻撃者がユーザーの認証情報をハッキングしたり、フィッシングしたりすることがはるかに難しくなるため、この方法はより安全です。
FIDO2は、ハードウェアデバイスとオンラインサービスを安全に通信させる特別なプロトコルと、この技術をChromeやSafariなどのウェブブラウザに直接統合するウェブAPIで構成され、プロセス全体をユーザーフレンドリーにします。これは、オンラインのアイデンティティとデータをよりスマートに保護する方法です。
FIDO2はまた、組織がインフラ全体でパスワードを段階的に廃止することを可能にする。パスワードレス化」は、ほとんどの組織にとって長い間叫びのようなものであった。しかし、FIDO2のセキュリティとユーザビリティの利点は明らかであるにもかかわらず、オーストラリアでの採用は残念ながら非常に低い。その理由の大部分は、レガシーなインフラやシステムがFIDO2プロトコルを活用できず、より広範な普及に大きな技術的・金銭的障壁を作り出しているからである。これらの古いシステムは、ワンタイムパスワード(OTP)のような古いMFA方式に依存している。
これまでの投資を最大限に活用し、新しいエッセンシャルエイトガイドラインを満たし、全体的なサイバーセキュリティ態勢を強化するために、組織は、可能な限り目立たない方法で、同じソリューションでFIDO2とOTPを同時に提供できる技術を検討すべきである。
RSAは、これらの要件を上回るコスト効率と安全性の高いオプションを組織に提供しています。その RSA 認証いただくか、 アプリはAndroidとiOSでFIDO認証を受けている。次に RSA DS100ハードウェア認証システム はFIDO認定のハードウェア・デバイスであると同時に、ディスプレイ・パネルでOTPを提供する。そして最後に 「RSA iShield Key 2シリーズ」, スイスビットが提供する FIDOをサポートするFIDO認定デバイス2 およびTOTPの認証を受けており、FIPS 140-3の認定を受けている。
Essential Eightガイドラインは、どの成熟度レベルにおいても、バイオメトリクス(携帯電話の指紋など)を有効な認証方法として除外している。特権アクセスにこの種の技術を使用する要件がある場合は見直すべきであり、アクセスを許可する唯一の手段としてバイオメトリクスを決して使用すべきではない。
さらに、音声認識は、ユーザーが何かにアクセスするために自分の声を使って挑戦する、アクセスを許可するための別のアプローチである。今日のジェネレーティブAI技術では、脅威行為者は小さなサンプルセットでどんな声でもクローン化することができ、その結果は非常に説得力がある。 ベライゾン2023年モバイル・セキュリティ・インデックス ホワイトペーパーによれば、"7つの単語は、個人の声の信憑性のあるなりすましを作成するのに十分なサンプルとなりうる "という。
この展開を踏まえると、音声認識は事実上、認証のための枯れた技術であると言ってもよいかもしれない。エッセンシャル・エイトのバイオメトリック・アップデートは、組織が生成的AI技術の世界における目まぐるしく変化する発展や、アイデンティティやセキュリティとの関係に注意しなければならない理由を強調している。警戒を怠らないこと!
こうした変化を受け入れるには、戦略的な計画と実行が必要である。その第一歩は、予算やリソースの配分との整合性を確保することである。より洗練されたMFAの統合は、先行投資として大きなリソースを必要とするかもしれないが、組織全体のデジタル・セキュリティに対する長期的な投資となる。何かが無料であるとき、あなたは常に支払ったものを得ることになる。
従業員のエンゲージメントも重要である。新しいセキュリティ対策の有効性は、ユーザの理解と「納得」によって大きく左右される。トレーニングを提供し、サイバーセキュリティを意識する文化を継続的に醸成することが、新しい認証方法へのスムーズな移行を促進する。
従業員に変更を押し付けるのではなく、従業員を移行に参加させ、新しいリソースを利用できるようにすることで、従業員からより早く受け入れられるようになる組織を見てきた。様々な同等のMFA手法の中から選択できるようなユーザー・セルフサービスを提供することが、この手助けになる。
さらに、同様に重要なこととして、サイバーセキュリティと業務効率のバランスを取ることが不可欠である。MFA対策の導入が、ユーザー・エクスペリエンスや業務運営の妨げになってはならない。厳格なセキュリティ・プロトコルとユーザー・エクスペリエンスの間で適切なバランスを取ることは、難しいかもしれないが、導入を成功させる鍵である。さらに、レガシー・システムに留意し、老朽化したリソースを保護できる一方で、最先端も保護できるプロバイダーを選択する必要がある。
更新されたEssential Eightガイドラインは、リスク管理の重要性を強調している。堅牢なMFAソリューションを導入することで、不正アクセスの可能性が低くなり、データ漏洩の可能性も低くなる。ひいては、これらの対策はデジタル・インフラに対する全体的なリスクを大幅に軽減する。
だからこそ、私たちはすべての組織に対し、改訂された「エッセンシャル・エイト」MFAガイドラインを、政府組織や関連組織だけのためのコンプライアンス要件ではなく、「エッセンシャル・エイト」MFAガイドラインの本質、すなわち、MFAガイドラインを強化するための戦略的な道筋として捉えることを強く求めている。 いずれも サイバー脅威から組織を守る。
