これがデジタル政府の基本だ 日本は追い付けるのか

パスワードはもはや重要な情報を保護するためには力不足だ。多要素認証の導入が欠かせない。政府のシステム環境はいつまでに多要素認証に対応するのだろうか。

[Matt Kapko，Cybersecurity Dive]

　米連邦政府とサイバー当局は、これまで数年にわたってフィッシング攻撃に対応しようとしてきた。フィッシング攻撃に耐性のある技術を用いてIDやアクセス認証を近代化しようとする試みだ。

政府と業界が一丸になって多要素認証に取り組む

　連邦政府の関係者は2023年7月17日にサイバーセキュリティ関連の業界幹部と会合を持ち、商業的に利用できる認証の仕組みを連邦政府のシステム環境に導入する利点について議論した。多要素認証（MFA）をいつまでに導入するのだろうか。

　今回の議論は、2022年初めに定められた取り組みに基づいている。フィッシングに強いMFAを導入する期限も決まっている。2024年10月までに全ての連邦政府機関が導入しなければならない（注1）（注2）。

　ホワイトハウスの発表によると（注3）、連邦政府のクレア・マルトラーナ氏（CIO《最高情報責任者》）は次のように述べた。

　「オンラインで自分が誰なのかを証明する方法は、ポジティブで直感的かつ信頼されるデジタル体験を提供するための基盤の一つだ」

　マルトラーナ氏は認証の仕組みがデジタル化の基盤だとはっきり述べた。

フィッシングに耐性を持ったMFAとは

　国家安全保障会議（NSC）とサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）、国家サイバーディレクター室、予算管理局の関係者は、連邦政府のサイバーセキュリティ政策が、電力やガス、鉄道、空港などの重要インフラ全体や政府で最新のMFAをどうすればよりスムーズに導入できるのかを検討した。

　CISAのブランドン・ウェールズ氏（エグゼクティブ・ディレクター）は次のように述べた。

　「オンライン環境を安全に保つためにはパスワードのみでは不十分だ。MFAの導入が求められている。MFAは悪意のある攻撃者からデータを保護する役に立つ。CISAは全てのユーザーがMFAを導入し、攻撃者が重要なデータにアクセスしにくくなる環境を構築するよう組織に求めている」（注4）

　だが、単純なMFAでは不十分だ。攻撃者はテキストや電子メールベースのワンタイム・パスコードに依存するMFAの仕組みを回避する技術を持っているからだ。フィッシングに耐性を持ったバージョンのMFAが必要だ。

　フィッシングに強いMFAはPassKeyやバイオメトリクス（生体認証）、Web Authentication API（WebAuthn）、FIDO2などの技術に依存している。

　フィッシングに強いMFAを幅広く導入しなければならず、導入期限もある。米政府は新技術を用いた商用利用可能なMFAに関する情報にキャッチアップしなければならない。これは米国政府だけに限った話ではないはずだ。

レガシーな要素がMFA導入の妨げになる

　シンクタンクの一つ、R Street Instituteで新しい脅威への対策を担当するブランドン・ピュー氏（ディレクター）は次のように述べた。

　「連邦政府によるMFA導入の推進は特に新しい取り組みというわけではない。しかし、公的機関におけるMFAの導入と利用は、民間企業に比べて遅れている。MFAはそれだけで完全なサイバーセキュリティソリューションになるわけではないが、重要で効果的な手法だ。連邦政府は既に利用可能なベストプラクティスとソリューションについて学び、検討すべきだ」

　レガシーシステムは、政府機関で新技術を導入する際に障壁になっている。MFAは厳格な認証要件を満たすよりも、アクセスしやすいプロトコルを含む形に進化しているため、レガシーシステムにも比較的導入しやすい。

　Sophosのチェスター・ウィスニエフスキ氏（応用研究を担当するフィールドCTO《最高技術責任者》）は次のように述べた。

　「レガシーな要素への対応に最も時間がかかり、それは数年にわたるプロジェクトになるだろう。それでも12〜18カ月以内にMFA対応の大半を完了すべきだ。もしも間に合わなければ、多くの疑問が投げかけられてしかるべきだ」

　ウィスニエフスキー氏によると、次のような良いニュースもある。

　「政府が導入を義務付けているMFAは、ほぼ100％の確率でフィッシングを防ぐことができる。（パスワードのみによる認証と異なり、MFAでは）攻撃者が秘密にすべき情報を入手しても、それだけでは本人になりすますことはできないからだ」

　一方で悪いニュースもある。それは、MFAの導入によりフィッシングの問題は解決されるものの、Webアプリケーションで使うCookieが盗まれる可能性が依然として残ることだ。つまり、アイデンティティー窃取の問題が完全に解決されるわけではない。

　NSCのアン・ノイバーガー国家安全保障担当副補佐官（サイバー・先端技術担当）は、MFAを個人的な優先事項だと述べて会合を締めくくった。

　「企業によるMFAの導入と安全なビジネスを政府の政策が妨げているのであれば、私たちは理由を知りたい。MFAは機密データを保護するための重要な手段であり、導入について私たちが共同で責任を持つものだ」（ノイバーガー氏）

出典：US government plays catchup on phishing-resistant MFA（Cybersecurity Dive）

注1：M-22-09 Federal Zero Trust Strategy（The White House）

注2：What is phishing-resistant multifactor authentication? It’s complicated.（Cybersecurity Dive）

注3：Readout of White House Multifactor Authentication Modernization Symposium（The White House）

注4：CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication（CISA）