連邦政府機関は、今後180日以内に多要素認証の実装を義務付ける新しい大統領令の遵守を目指すため、FIDOを選択する必要があります。
投稿者:Andrew Shikiar、FIDOアライアンス、エグゼクティブディレクター兼最高マーケティング責任者
米国の重要なインフラ資産の弱点を露呈した最近の攻撃に直面して、バイデン大統領は 水曜日、国のサイバーセキュリティを強化するための新しい大統領令に署名しました。
ここ数カ月、米国の重要インフラに対する攻撃が相次いでおり、その中には、政府の多くが潜在的なリスクにさらされたSolarwindsのサプライチェーン攻撃も含まれています。 ここ数日で頭に浮かぶのは、アメリカ全土の精製油の流れに大きな影響を与えたコロニアル・パイプラインに対するランサムウェア攻撃です。 これらの攻撃は、米国の重要インフラの脆弱性を露呈し、バイデン政権はリスクを最小化または排除する連邦指令を発行しています。
大統領令の重要な部分は、政府機関が保存中および転送中のデータに多要素認証(MFA)と暗号化を可能な限り最大限に採用することを義務付けていることです。 連邦文民支部機関は、大統領令を遵守するために180日間の猶予が与えられ、採択が完了するまで60日ごとに進捗状況を報告する必要があります。 何らかの理由で機関が180日以内にMFAと暗号化を完全に採用できない場合は、CISA長官、OMB局長、およびAPNSAを通じて、期限に間に合わない理由を添えて国土安全保障長官に報告する必要があります。
FIDOアライアンスでは、バイデン政権による本日の指令を歓迎し、多要素認証の重要性に重点を置いたことを称賛します。 この大統領令で注目すべき点は、ホワイトハウスがMFAを15年以上にわたって依存してきたPIV/PKIプラットフォームに限定するのではなく、あらゆる場所でMFAを優先していることです。 本日の大統領令は、特定のテクノロジーを義務付けることなく、MFAですべてのアカウントを保護することが優先事項であることを明確にしたという点で、重要な一歩を踏み出しました。 これは注目すべき変化であり、最も脆弱な形式のMFAでも、パスワードが攻撃ベクトルとなる一部の攻撃を阻止できることがわかっているからです。 また、FIDO認証は、フィッシング攻撃からの保護が必要なアプリケーションにとって、PIVに代わる唯一の標準ベースの代替手段であることもわかっています。 この大統領令は、政府機関がFIDO認証を導入するための扉を開くものですが、PIV以外の認証の使用が許可されていないため、導入を控えていると聞いています。
米国政府がMFAと強力な暗号化の使用を提唱したのはこれが初めてではありません。 CISAが2020年9月に発行した選挙セキュリティに関する アドバイザリ では、サイバースパイ事件の大部分はフィッシングによって可能であり、FIDOセキュリティキーはフィッシング攻撃から100%の保護を提供する唯一のMFA形式であると指摘しています。
実際、米国政府はFIDOによる強力な認証の使用を提唱しているだけでなく、少なくとも2018年から login.gov ポータルですでに実装しています。 login.gov により、米国政府は、市民や機関が連邦政府のリソースに安全にアクセスできるようにするための安全なアプローチをすでに提供しています。 2019年6月、FIDOアライアンスは login.gov 向けの導入事例を詳述する ウェビナー を開催しましたが、今後180日以内に強力な認証を採用する必要があるため、さらにタイムリーになりました。
FIDOアライアンスは設立以来、金融サービス、eコマース、政府など、あらゆる業種のテクノロジープロバイダーや消費者サービスプロバイダーなど、主要なオペレーティングシステムベンダーを含む業界パートナーを結集してきました。 これらすべての多様なグループは、強力な認証を標準化するという共通の目的のために協力してきました。 現在、世界中の何十億ものデバイスがFIDO認証をサポートしており、強力な認証の未来を確保するために役割を果たす準備ができています。 ほとんどの主要なクラウドプロバイダー、デバイスメーカー、ブラウザベンダーがFIDOのサポートを同梱しているという事実は、政府機関が「追加」が必要な他の製品ではなく、組み込まれたMFAを簡単に活用できることを意味します。
最近の一連の攻撃によって改めて思い出させられたことが1つあるとすれば、それは、民間部門と公共部門が重要インフラを保護するための強力なセキュリティ対策を必要としているということです。
政府機関は、この指令に準拠する際に、最も強力な形式のMFAのみを採用することを強く求めます。 FIDOアライアンスとそのメンバーは、米国政府のリスクを軽減し、サイバーセキュリティ態勢を改善するために、強力な認証を実装するための教育、リソース、ツールを提供し、政府機関を支援する準備ができています。