アメリカサイバーセキュリティの新基準とは
バイデン大統領のMFA導入で認証が新時代に向かう

　2021年5月7日にアメリカ東海岸で消費されるガソリンや燃料の約45％を供給している石油パイプライン管理会社コロニアルパイプライン社がサイバー攻撃を受けました。アメリカでトップエネルギー企業となる同社は、ランサムウェア攻撃によりデータにアクセスできないようになり、情報の一部をインターネット上で公開するという旨の複数の脅迫による身代金要求を受けたために、燃料配給のパイプラインの操業を停止せざるを得ませんでした。その結果、アメリカ東海岸全体でのガソリンとジェット燃料の配給が脅かされることとなりました。また東海岸の消費者に45年以上前のオイルショックを彷彿させたことにより、ガソリンのパニック買いが発生、5月12日までに1000以上におよぶガソリンスタンドでガソリンが無くなってしまうというさらに悪化した状況を招いたのです。

　そこで、今回はバイデン大統領にサイバーセキュリティの向上に関する大統領令発令を早めさせた要因となるコロニアルパイプライン社へのサイバー攻撃事件に触れながら、この発令がサイバーセキュリティ基盤となる「認証」に与えるインパクトについてご紹介します。

サイバーセキュリティの近代化の大統領令を発令

　バイデン大統領は5月12日に大統領令を発表しました。SolarWindsのようなサイバー攻撃を防ぐために国家機関にサイバーセキュリティを向上する措置を指示しました。この措置は政府機関のシステム内だけでなく、ソフトウェアやサービスを提供するベンダーに対しても調達の条件が提示されています。

連邦政府のサイバーセキュリティの近代化
　サイバーセキュリティへのアプローチを近代化するための確固たる措置を講じなければいけないとした大統領令には、セキュリティのベストプラクティスを採用、ゼロトラスト・アーキテクチャに向けて前進し、SaaS（ソフトウェア・アズ・ア・サービス、Software as a Service)を含む安全なクラウドサービスへの移行を加速することなどが含まれ、サイバーセキュリティリスクの特定および管理のための分析を推進するとされています。

　また、より具体的な大統領令として、発令日から180日以内に各省庁は連邦記録法およびその他の適用法と整合性のある最大限の範囲で、保存中および転送中のデータに対してMFA（多要素認証）および暗号化を採用しなければならないとされています。

大統領令の一部
1）60日以内に、政府機関のシステムやそのシステムを提供するベンダーのシステムはできるだけゼロトラストアーキテクチャを導入する
　この措置は、SolarWinds サプライチェーンなどの攻撃で起こった侵入を防ぐために発令されたとしています。ゼロトラストアーキテクチャは「信用しない」という基本コンセプトに基づいてできており、例えば社内ネットワーク上にいるユーザーが別のサーバーにアクセスするときには再認証を行うといったことなどがあると考えています。

2)90日以内に連邦政府はクラウドセキュリティ戦略を策定し、政府機関のシステムやそのシステムを提供するベンダーはできるだけオンプレミスからクラウドへ移行する
　この措置は、最近オンプレミスで起きた攻撃で明らかとなった認証の脆弱性がきっかけになっており、SolarWindsで突破されたADFS認証サーバーへの攻撃を防止するためだと考えています。

3）180日以内に、政府機関のシステムやそのシステムを提供するベンダーの認証はMFAを採用する
　この措置は、多くの不正アクセスが始まるとされているフィッシング攻撃を避けるために発令されたと考えています。この措置の実施は極めて重要だと考えています。

4）180日以内に、政府機関のシステムやそのシステムを提供するベンダーのデータは保存中および転送中のデータに対しても暗号化する
　この措置は、ランサムウェア攻撃者がパソコンなどへ侵入した時にデータ内容を外のサーバーへ転送することを防ぐために発令されたとしています。ソフォスによると組織やシステムを解析するために、攻撃者は時間をかけて（平均滞留時間は45日間 ※1）ネットワーク上で調査し、ある程度調査ができてからデータの暗号化を始めるとされています。

バイデン大統領令のサイバーセキュリティ基盤となる「認証」に与えるインパクト

　2001年9月11日に起こったアメリカ同時多発テロでハイジャックされた二機の飛行機によるワールドトレードセンターへの攻撃をきっかけに、米国政府は様々な措置を取りました。その中でも、現在も継続しているものが空港での厳しいセキュリティチェックです。

　それと同じく2021年5月12日に発令した今回の大統領令では、クラウドサービスへのアクセス時のユーザー認証をより厳しくするものであり、与えるインパクトは大きいと考えています。またクラウドへのアクセスだけではなく、今回発令のきっかけにもなったコロニアルパイプラインのように、オンプレミスシステムへのランサムウェア攻撃にもインパクトが大きいと考えています。特にPCなどにログインする際に、パスワードだけでなく最低でも2つの要素を含む多要素ファクター（MFA）が求められるでしょう。実際にハッキングによる侵害のうち80%以上はパスワードが原因とされているため、主にパスワードフィッシングから始まるとされるランサムウェア攻撃に対してMFAの導入が与えるインパクトはとても大きいのです。特に突破が難しいとされている、指紋や顔などの生体認証を利用してユーザー確認ができるMFAが求められると考えています。

認証の概念を変革する「認証維新」が現実のものに

　アメリカだけでなく日本においても、DX（デジタルトランスフォーメーション）やテレワーク導入が加速したことも要因となり、日本企業のグループ会社や子会社がランサムウェアの被害に遭うなどサイバー攻撃は静まる気配がなく、日本政府そして企業もまたサイバー攻撃対策の優先度をあげるべき時がきています。

　ISRは、 2014年に世界でパスワードを使わない認証をビジョンとしているFIDOアライアンスに参加し、2015年の秋にはFIDOプロトコルに準拠したMFA機能をCloudGate UNOのオプションに追加、そして、2019年にはFIDO2によるクラウド型パスワードレス認証の提供を開始し、今回の発令の基盤となる「認証」の強化に取り組んできました。

　今回の2021年5月12日に発表されたゼロトラストのアーキテクチャ導入やクラウドへのシフト、またSolarWindsのようなサプライチェーン攻撃や、コロニアルパイプラインへのランサムウェア攻撃を防ぐためにMFAの導入を義務付けたバイデン大統領令の発令が与える影響によって、ISRがこの7年間目指してきた安全な認証が普及する可能性が見えてきました。そして、パスワードを中心とした従来の認証のやり方から、安全なMFAやパスワードレス認証の利用へと認証の概念を変革するために2021年にISRで掲げた、「認証維新」を起こすという夢の実現がより具体的になってきたと考えています。

　今後はさらに日本において突破されにくいMFAやパスワードレスの普及に向けて、全力で努力していきます。