国防総省の認証が強化される模様
米国防総省の認証が強化されるようです。
最近の国防総省の監査総監の実施した監査で、陸、海軍及びミサイル防衛局は、ネットワークやシステムを不正使用やアクセスから保護するための基本的なサイバーセキュリティ対策を講じていないことが判明しました。
現在は、CAC(Common Access Card)の2ファクタ認証でアクセス管理されていますが、めまぐるしくダイナミックに進化する脅威に対抗するため、これをさらに行動バイオメトリクスや属性ベースのコントロールなどの新しい技術を活用して、更なるマルチファクタ認証の強化を実施すべきであると指摘しています。
サイバーセキュリティの認証の動向を見る上で参考となる記事を紹介します。
What’s next for multifactor authentication in the Defense Department
国防総省におけるマルチ・ファクタ認証の次は by: Dan Conrad 2019/4/9
The threat landscape is incredibly dynamic and today’s technology must support a stronger approach. (ByoungJoo/Getty Images)
最近の国防総省のIG(Inspector General:監査総監)監査で、陸軍、海軍、ミサイル防衛局は、ネットワークやシステムを不正使用やアクセスから保護するための基本的なサイバーセキュリティ対策を講じていないことが判明した。
いくつかの施設でもコモン・アクセス・カード(CAC)[1]を使用せずに、シングル・ファクタ認証が一般的な方法だった。
さらに、最近の海軍のサイバーへの事前対処の態勢の監査では、組織にはデータに対する脅威を検出して保護するために必要なリソースがないことが分った。
DoDは認証方法を強化する方法を見つけなければならない。
政府機関は、通常にユーザーを検証するためにマルチ・ファクタ認証と呼ばれることもある2ファクタ認証を使用している。
一般的に、これはあなたが知っているもの(パスワードのようなもの)とあなたが持っているもの(IDバッジやトークンなどのようなもの)から成っている。
2ファクタ認証は、セキュリティにとって非常に重要な出発点である。
しかし、これらの手法でも、信じられない程ダイナミックな脅威の状況では対応できない。―今日の技術はより強力なアクセスへの方法を多くの場合サポートする事が出来る。
CACの先に
CACは、DoDの主要な認証コードとしてそのまま使用される事となっており、強固である一方、でユーザーがシングル・ファクタ認証を使用してネットワークにアクセスが許可されると、サイバー攻撃者がパスワードを搾取して重要なデータにアクセスする可能性が高まるのである。
しかしながら、DoDがマルチ・ファクタ認証を講じて全体のサイバーへの態勢を強化させることができる効果的な方法は有るのだ。
政府機関のリーダーはCACを強化するために、より厳格なIDアクセス管理とセキュリティ対策を講じることによってまず公務員のIDを保護し、特権ユーザー間のアクセスを管理する方法を検討しなければならない。
その保証レベルはITセキュリティのゴールド・スタンダード(最適標準)と見なされているが、CACはマルチ・ファクタ認証の2つの側面、つまりあなたが持っているものとあなたが知っているものを利用しているにすぎない。
あなたが誰であるかという3番目の側面は、CACを強化することができるのだ。
国防総省は、伝統的なアプローチの強化に取りかかるために、新技術に注目すべきである。
行動バイオメトリクスや属性ベースのコントロールなどの技術は、リアルタイムで異常を捉えることができ、これにより、犯罪が進行して損害が生じる前に犯罪を阻止することができる。
行動バイオメトリクス技術がユーザーにとって非常に有益なのは、ユーザーを混乱させることなくデータが収集されるため、認証が継続的であり、全体的な生産性に影響を与えないことである。
信じるな、常に検証を
侵害(注:セキュリティ上の)は、暴露された特権の証明書と重要なシステムやデータへの自由なアクセスを獲得しようとする悪意のある者に頻繁に関わっている。
大量の機密データに無制限にアクセスできる大きな組織体全体に亘って運用する管理者は、しばしば、監査を行わずにパスワードを共有することがある。
故意であろうと偶発的であろうと内部からの脅威は、被害が発生した後に記録および確認されるのではなく、発生する前に防ぐ事が出来るのだ。
ゼロ信頼モデルを採用することで、組織は自分の身元を証明した人だけに信頼を与えることによって、不注意な行動や悪意のある意図に対処することができる。ゼロ信頼モデルでは、ユーザーに関係なくアクセスを制限するために厳密なユーザー制御が適用される。
これを効果的に実行するには、省庁は、すべてのネットワークトラフィックを可視化して記録し、ネットワーク全体で異常が発生しているという事態に直ちに対処するための手段を講じ無ければならない。
連続的なマルチ・ファクタ認証では、センサーデータはGPSの位置、身体の歩容、音声および顔の認識などの要素を常に監視する。
もし、システム管理者のCACが真夜中の奇妙な時間にまったく新しい環境で使用されていても、このデータはキャプチャされ、特権アクセスを即座に停止する事が出来る。
DoDは大量の機密データを保護するように機能しているので、進化する脅威の状況や規制環境に対応するためにセキュリティの態勢やプログラムを継続的に改善および適応させ無ければならない。
ゼロ信頼モデルと組み合わされた次世代技術は、CACを強化し、最終的にDoD全体のサイバー・レディネスを向上させることができるのだ。
省庁のリーダーは、機密データの適切な保護を提供し、侵害を防止するために、外部からでも内部からでもそれぞれのニーズを満たすことができる業界の革新を活用するように努めるべきである。
(黒豆芝)
[1] Common Access Card は、米国で、現役の軍および政府職員、国防総省職員、有資格請負業者により使用されている標準 ID で、CAC を使用することにより、建物や管理スペースへの物理的アクセスが可能になり、DoD コンピューター・ネットワークおよびシステムにアクセスすることができる。CACは2要素認証の要件を満たす。https://www.ibm.com/support/knowledgecenter/ja/SSW2NF_9.0.1/com.ibm.ase.help.doc/topics/t_authenticate_with_cac.html
