CISAが強く勧める多要素認証、「耐フィッシングMFA」の基本と導入手順を解説

CISAは、「耐フィッシング多要素認証（MFA）」がMFAの新しいスタンダードになるという。耐フィッシングMFAの定義と、企業が段階を踏んで導入する方法を解説する。

[Matt Kapko，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると、「耐フィッシング多要素認証（MFA）」は、単に高セキュリティのMFAというだけでなく、「MFAのゴールドスタンダード」になるという。果たしてその全貌は。

耐フィッシングMFAを実現する方法

　CISAは2022年10月、耐フィッシングMFAの定義を明確にし（注1）、企業が論理的な段階を踏んでセーフガードを導入するためのガイダンスと優先順位を示すファクトシート（注2）を発表した。以下がCISAの3つの提言になる。

• FIDO標準とWeb Authentication APIプロトコルに準拠する
• ITシステムを把握し、どのプラットフォームがMFAをサポートしているかを判断し、そこからスタートする
• 耐フィッシングMFAを段階的に導入し、価値の高いターゲットとリソースに早期に重点を置く

　CISAによれば、FIDO標準とWebAuthnプロトコルは、耐フィッシングMFAとして唯一広く利用されている。FIDOアライアンスによって開発されたプロトコルと標準は、共にMFAを強化するために連携させられる。

　WebAuthnプロトコルは、FIDO2標準と同時に開発され、ブラウザやOS、スマートフォンに対応している。FIDO2標準との連携によって、USBデバイスなどの物理的なトークンやラップトップOC、モバイルデバイスに組み込まれたコンポーネントなどの形で耐フィッシング認証機能を実現できる。FIDO2認証は、バイオメトリクスや秘密鍵と公開鍵の非対称ペアを介して行うことも可能だ。

　CISAは、「インフラストラクチャの中でMFAに対応していないシステムを特定し、対応するシステムへのアップグレードまたは移行する計画を策定すること」を勧めているが、MFAの実装が困難であることを認識しており、耐フィッシングMFAを優先して段階的に導入するようITリーダーを促している。

　着手は、企業データにアクセスできるメールシステムやファイルサーバ、リモートアクセスシステムなど、最も価値があり、脅威者がよくターゲットとするリソースから開始することを勧めている。

　またCISAは、企業は価値の高いターゲットに耐フィッシングMFAを優先して導入すべきとする。追加的なアクセスや特権を持つ幹部や他の従業員は、脅威者にとって特に価値がある。「サイバー脅威者がシステム管理者のアカウントを侵害できれば、企業内のあらゆるシステムとデータにアクセスできる可能性がある」と同庁は述べている。

　弁護士や人事部の従業員も人事記録にアクセスできる可能性があり、優先順位付けには考慮が必要だ。

　製品によっては、耐フィッシングMFAに対応していないものもあるが、CISAはホスト型メールプラットフォームなど、まずは対応しているサービスに着目するよう企業にアドバイスしている。

　CISAによれば、大企業は全てのユーザーを一度にトレーニング、登録、サポートすることは困難であり、現実的ではない。従って、耐フィッシングMFAを段階的に導入することが最善だという。MFAを煩わしいと感じる従業員もいるため、セキュリティリーダーがリスクと耐フィッシングMFAがいかに防御を強化するかを説明することが適切であるとしている。

　CISAは、全ての企業が耐フィッシングMFAを導入することを強く推奨しており、ITチームのプロセスをガイドするための複数のリソースをオンラインで提供している。

出典：CISA demystifies phishing-resistant MFA（Cybersecurity Dive）

注1：What is phishing-resistant multifactor authentication? It’s complicated.

注2：Implementing Phishing-Resistant MFA