サイバーセキュリティという観点から見た場合、サポートされていないソフトウェアを使用したり、デフォルトのユーザー名とパスワードの利用を許したり、システムへのリモートアクセスや管理者権限でのアクセスに単一要素認証を用いるというのはいずれも危険なプラクティスであり、あらゆる組織はこうしたプラクティスを避けるべきだ。これは重要インフラに関与する組織であれば特に言えることだという。
この警告は米サイバーセキュリティ・インフラセキュリティ庁(CISA)によるものだ。CISAは、重要インフラがサイバー攻撃の被害に遭うリスクを高める「極めて危険な」一連のプラクティスのリストをまとめている。
単一要素認証、つまりユーザーに対してユーザー名とパスワードの入力のみを求める認証形態の採用は、このリストに最近追加された最も危険なプラクティスだ。CISAは、重要インフラの運用に関与するシステムに対するリモート環境からの、あるいは管理者権限でのアクセスに単一要素認証を採用することは「危険であり、国家安全保障上のリスクを著しく高める」と警告している。
多要素認証の採用は、攻撃の99%を無力化する上で役立つはずだ。多要素認証は重要インフラにおいて、サイバー犯罪者によるサイバーフィジカルシステムの改ざん行為を抑止するための武器として特に重要なものとなる。
既知のパスワードや固定パスワード、デフォルトパスワードは、単一要素認証に匹敵するまずいプラクティスであり、CISAは「危険」と表現している。デフォルトのパスワードや簡単なパスワードは、ちょっとした推測でパスワードを探り当ててアカウントに侵入できる可能性が著しく高まるという点で、サイバー犯罪者にとって格好の餌食と言える。
またCISAは、既に侵害が明らかになっているパスワードの使用についても警告している。というのもこうしたパスワードを使用し続けることは、ネットワークに容易にアクセスする手段をサイバー犯罪者に手渡す行為に等しいためだ。
CISAが挙げている3つ目の悪しきプラクティスは、サポートされていない、あるいはサポート終了となっているソフトウェアを重要インフラで使用するというものだ。セキュリティアップデートが提供されなくなったソフトウェアやOSを使用し続けることで、セキュリティパッチの提供終了以降に発見された新たなセキュリティ脆弱性をサイバー犯罪者に突かれるリスクが高まる。
CISAは同庁ウェブサイト上に「重要インフラに関与する組織内にこのような悪しきプラクティスが存在するのは(中略)極めて危険な状態であり、国家安全保障や、経済の安定、国民の生活や健康、安全をつかさどる重要インフラに対するリスクを増大させる」と記している。
CISAが発表している危険な悪しきプラクティスのリストは、重要インフラの運用と支援にかかわる組織に向けたアドバイスを目的として作成されたものだ。しかし、企業にとっても有益なアドバイスとなり、単一要素認証や、デフォルトパスワード、サポートされていないソフトウェアの使用を避けることも、サイバー攻撃の被害から身を守る上での助けとなるだろう。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。