“MFAの標準搭載”がなぜベンダーに求められるのか――、ISRが解説

　株式会社インターナショナルシステムリサーチ（以下、ISR）は20日、「ユーザーのセキュリティ確保のため、今、ベンダーに求められる『MFAの標準搭載』とは？」をテーマにした記者説明会を開催した。今回の説明会では、米国で開催された「Authenticate 2022」での米国政府 CISA（サイバーセキュリティ・インフラセキュリティ庁）長官のジェン・イースタリー氏による講演内容を紹介するとともに、ベンダーがMFA（多要素認証）を標準装備とするべき背景や理由について解説した。

　サイバー攻撃が激化する中、日本では、依然として多くの企業でパスワードのみでの認証が行われている。しかし、パスワード認証には多くの課題があり、例えば「個人を特定できる情報がパスワードに使われている」「リスクを承知の上でパスワードを再利用している」「パスワードを忘れてしまう」などが挙げられる。

　ISR 代表取締役のメンデス・ラウル氏は、「パスワードは人の記憶に頼るものなので、複雑にすればするほど、覚えられなくなり、忘れてしまうのは当然のこと。一方で、パスワード紛失防止のためといって覚えておきやすい安易なものや、個人を特定できる情報を使用すると、推測され不正ログインされてしまうリスクが高まる。また、そもそもパスワード認証には、総当たり攻撃／リスト攻撃による認証突破やフィッシングによる窃取など、セキュリティ上の課題がある。しかし、ベンダーは、こうしたパスワードの危険性を認識していながら、パスワードのみの認証を利用したサービスの提供を続けている。そして、ユーザー企業はベンダーが提供したままのサービスを利用しているのが現状だ」と指摘する。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

　この現状を踏まえた上で、「ベンダーが負うべき責任の問題」に焦点を当て、FIDOアライアンス主催のイベント「Authenticate 2022」（10月17日～19日、米ワシントン州シアトル）内で行われた米国政府 CISA長官のジェン・イースタリー氏による講演の内容を紹介した。

米国政府 CISA長官のジェン・イースタリー氏

　講演でイースタリー氏は、「ベンダーがMFAを顧客／ユーザーのオプションとしてではなく、デフォルトとして導入するよう業界に働きかけている」とコメント。CISAは民間企業と協力し、SalesforceやGitHub、Google、AppleといったIT大手企業でMFAの義務化が進んでいることを説明した。

米国におけるMFA義務化の状況

　しかし、Proofpoint社の調査レポートから、「企業顧客の約4分の1しかMFAに登録していない」、「そのような組織のシステム管理者のうち、MFAを使用しているのは約3分の1だけである」、「管理者や経営者は全ユーザーの10％にすぎないが、最も深刻な攻撃リスクの50％近くを占めている」と、実際にMFAを利用している人はごく一部にすぎないとも述べた。

　また、イースタリー氏は、車におけるシートベルトと、インターネットサービスにおけるMFAの関係性が似ていることを指摘。「MFAはサイバーの世界でいうと、安全を守るシートベルトのような存在だが、MFAを使わなくても、シートベルト締め忘れの際のような警告は発せられない。今後は、ベンダーが顧客のセキュリティに責任を持ち、シートベルトが標準搭載されているように、MFAも製品を購入した初期状態から標準搭載されているべきである」と主張した。

　イースタリー氏は講演を通じて、米国では官民が協力してMFA標準化に向けた取り組みを推進しており、国家と国民のために、より安全なサイバーエコシステムを作り上げていく考えを示した。

　一方で、米国に対してMFA導入が大きく遅れている日本では、昨年から病院を狙ったランサムウェア攻撃が頻発している。その原因についてラウル氏は、「外部のインターネットを院内ネットワークとつなぐためにVPN機器が利用されている」、「VPN機器で使用するID・パスワードを窃取した攻撃者が、侵入経路として悪用している」、「VPN機器が持つ脆弱性を狙われている」ことを挙げた。

日本の病院を狙ったランサムウェア攻撃

　最後にラウル氏は、「ベンダーから提供されるがままに、パスワードのみの認証を利用し続けていることが、病院をはじめとした多くのサイバー攻撃被害の要因になっていると思われる。それだけに、これからのセキュリティベンダーは、安全性の維持を顧客に任せるのではなく、サイバー攻撃から顧客を守る責任を持つことが重要になる。そして、セキュリティ対策としてMFAの標準化を進めると共に、生体認証などのパスワードレス認証を導入することでセキュリティをさらに強化していくことが求められる」と訴えた。