メディア

AWSに続きMicrosoftも「多要素認証を強制」せざるを得なかった理由

2023年、Amazon Web Servicesは最高権限を持つユーザーに対して、マネジメントツールにサインインする際に多要素認証の使用を義務付けると発表した。Microsoftもこれに続き、多要素認証の強制に踏み切った。

» 2024年09月26日 07時00分 公開
[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 2024年8月15日、Microsoftは(注1)2024年10月以降「Microsoft Azure」「Microsoft Entra」および「Microsoft Intune」にサインインする際、多要素認証(MFA)を必須とすることをブログで発表した。

Microsoftが多要素認証の強制に踏み切った理由

 Microsoftは影響を受けるMicrosoft Entraの全管理者に対して、2024年8月15日から60日間通知を送る予定だ。同社は、複雑な環境や技術的な課題を抱える顧客からのリクエストに対して「MFAの強制的な実装に、さらなる猶予期間を設けるかどうかを検討する」とコメントする。

 Microsoftは、2025年の年明けから「Azure Command Line Interface」や「Azure PowerShell」、Microsoft AzureのモバイルアプリやInfrastructure as Codeツールへのサインイン時にもMFAを段階的に導入する予定だという。

 MFAの義務化は、Microsoftが2023年11月に開始した「Secure Future Initiative」の一環だ(注2)。この取り組みは、同社のプラットフォームやサービスに主要なセキュリティ機能を統合することで、サイバーセキュリティ戦略を抜本的に見直すものだ。

 Microsoftのサティア・ナデラCEOは、2024年4月に自社のサイバーセキュリティを強化すると強調し、セキュリティを最優先事項とした(注3)。これは、サイバー安全審査会(CSRB)による「Microsoftは、セキュリティよりも製品やサービスを市場に供給するスピードを優先している」という厳しい批判を受けてのことだった(注4)。

 企業においてMFAの導入は依然として難題だ。しかし、MFAの導入は壊滅的な攻撃を防ぐ重要な要素だ。

 2024年2月にヘルスケアテクノロジー企業のChange Healthcareを襲ったランサムウェア攻撃と(注5)、データウェアハウスプラットフォームを提供するSnowflakeの顧客100社以上を標的とした一連の攻撃は(注6)米国で最も深刻な被害をもたらした。これらの攻撃は、MFAを導入していないシステムを狙ったものだ。

 Microsoft Azureはインフラストラクチャやコンピュート、サービス基盤として機能している。調査企業であるSynergy Research Groupによると、MicrosoftはAmazon Web Servicesに次ぐハイパースケーラーであり、第2四半期にはクラウドインフラストラクチャサービスの市場において23%のシェアを獲得した(注7)。

 MicrosoftによるMFAの義務化は厳格なものだが、同社は顧客が要件を満たすために使用できるMFAの種類について柔軟な対応をしている。

 ユーザーは「Microsoft Authenticator」やセキュリティキーの「FIDO2」、証明書ベースの認証、パスキー、テキストメッセージまたは音声ベースの承認通じてMFAを利用できる。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。