サイバーセキュリティで避けるべき3大プラクティス--CISAが提示

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2021-09-01 16:11

 サイバーセキュリティという観点から見た場合、サポートされていないソフトウェアを使用したり、デフォルトのユーザー名とパスワードの利用を許したり、システムへのリモートアクセスや管理者権限でのアクセスに単一要素認証を用いるというのはいずれも危険なプラクティスであり、あらゆる組織はこうしたプラクティスを避けるべきだ。これは重要インフラに関与する組織であれば特に言えることだという。

 この警告は米サイバーセキュリティ・インフラセキュリティ庁(CISA)によるものだ。CISAは、重要インフラがサイバー攻撃の被害に遭うリスクを高める「極めて危険な」一連のプラクティスのリストをまとめている

 単一要素認証、つまりユーザーに対してユーザー名とパスワードの入力のみを求める認証形態の採用は、このリストに最近追加された最も危険なプラクティスだ。CISAは、重要インフラの運用に関与するシステムに対するリモート環境からの、あるいは管理者権限でのアクセスに単一要素認証を採用することは「危険であり、国家安全保障上のリスクを著しく高める」と警告している。

 多要素認証の採用は、攻撃の99%を無力化する上で役立つはずだ。多要素認証は重要インフラにおいて、サイバー犯罪者によるサイバーフィジカルシステムの改ざん行為を抑止するための武器として特に重要なものとなる。

 既知のパスワードや固定パスワード、デフォルトパスワードは、単一要素認証に匹敵するまずいプラクティスであり、CISAは「危険」と表現している。デフォルトのパスワードや簡単なパスワードは、ちょっとした推測でパスワードを探り当ててアカウントに侵入できる可能性が著しく高まるという点で、サイバー犯罪者にとって格好の餌食と言える。

 またCISAは、既に侵害が明らかになっているパスワードの使用についても警告している。というのもこうしたパスワードを使用し続けることは、ネットワークに容易にアクセスする手段をサイバー犯罪者に手渡す行為に等しいためだ。

 CISAが挙げている3つ目の悪しきプラクティスは、サポートされていない、あるいはサポート終了となっているソフトウェアを重要インフラで使用するというものだ。セキュリティアップデートが提供されなくなったソフトウェアやOSを使用し続けることで、セキュリティパッチの提供終了以降に発見された新たなセキュリティ脆弱性をサイバー犯罪者に突かれるリスクが高まる。

 CISAは同庁ウェブサイト上に「重要インフラに関与する組織内にこのような悪しきプラクティスが存在するのは(中略)極めて危険な状態であり、国家安全保障や、経済の安定、国民の生活や健康、安全をつかさどる重要インフラに対するリスクを増大させる」と記している。

 CISAが発表している危険な悪しきプラクティスのリストは、重要インフラの運用と支援にかかわる組織に向けたアドバイスを目的として作成されたものだ。しかし、企業にとっても有益なアドバイスとなり、単一要素認証や、デフォルトパスワード、サポートされていないソフトウェアの使用を避けることも、サイバー攻撃の被害から身を守る上での助けとなるだろう。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

  4. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  5. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]