「Exchange Online」の先進認証への切り替え、10月までに--米CISAが要請

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2022-07-04 12:11

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Microsoftが2022年10月1月に「Microsoft Exchange Online」の基本認証(Basic Authentication)を無効化する前に、速やかに先進認証(Modern Authentication)へと切り替えるよう全組織に要請した。

PCに向かう人
提供:Hinterhaus Productions

 基本認証でサポートされていない重要な機能の1つに多要素認証(MFA)がある。MFAはIDやパスワードを狙う攻撃に対抗する最善の保護策の1つだ。

 CISAが連邦機関に先進認証への切り替えを速やかに実施するよう促している理由には、Biden米大統領が2021年5月に署名した大統領令第14028号もある。サイバーセキュリティに関するこの大統領令ではMFAが要求されており、その実装が組織に対して求められている。

 CISAは、10月1日までに切り替えを済ませておくようあらゆる組織に促している。10月1日は、Microsoftが基本認証を使用している世界各地のテナントに対する切り替えを開始する日だ。CISAのガイダンスには「CISAはすべての組織が10月1日までに先進認証への切り替えを実施し、MFAを有効化するよう要請する」と記されている。

 Microsoftによると、テナント側で基本認証をいったん無効化すると、基本認証を依然として使用しているすべてのクライアント(「Microsoft Outlook」から、「Exchange ActiveSync」に接続されている「PowerShell」スクリプトやアプリに至るまで)が接続できなくなるという。

 政府機関以外の組織も、CISAが今回公開した無料ガイダンスを利用できる。

 Microsoftは1年以上も前から先進認証への切り替えをあらゆる組織に促してきている。同社は当初、2021年の後半に基本認証を無効化する計画だったが、新型コロナウイルスのパンデミックの発生を受け、2021年2月にその計画を延期し、最終的に期限を2022年10月とした。

 先進認証はセキュリティ面で有効なものだ。同社は1月に、ある特殊な細工が施されたフィッシング攻撃において、基本認証を用いている顧客すべてが影響を受けたものの、先進認証を有効化しているほとんどの顧客は影響を受けなかったと報告している。

 同社のExchange Onlineチームは5月、CISAも一読を推奨している同社ブログへの投稿に、Exchange Onlineでは依然として多くの顧客が基本認証を使用していると記している。また同チームは、Exchange Onlineの特定プロトコルで基本認証を使用し続けている顧客に向け、10月1日より同認証の無効化を開始すると説明している。

 ただ、対象となるすべての顧客が使用している基本認証を一斉に無効化するのではなく、ランダムに選択したテナントに対して7日前に警告を送付した後、無効化することになるという。なお同社は10月以降、無効化の時期に関して顧客から例外を要求することはできないと警告している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]