AWSに続きMicrosoftも「多要素認証を強制」せざるを得なかった理由
2023年、Amazon Web Servicesは最高権限を持つユーザーに対して、マネジメントツールにサインインする際に多要素認証の使用を義務付けると発表した。Microsoftもこれに続き、多要素認証の強制に踏み切った。
2024年8月15日、Microsoftは(注1)2024年10月以降「Microsoft Azure」「Microsoft Entra」および「Microsoft Intune」にサインインする際、多要素認証(MFA)を必須とすることをブログで発表した。
Microsoftが多要素認証の強制に踏み切った理由
Microsoftは影響を受けるMicrosoft Entraの全管理者に対して、2024年8月15日から60日間通知を送る予定だ。同社は、複雑な環境や技術的な課題を抱える顧客からのリクエストに対して「MFAの強制的な実装に、さらなる猶予期間を設けるかどうかを検討する」とコメントする。
Microsoftは、2025年の年明けから「Azure Command Line Interface」や「Azure PowerShell」、Microsoft AzureのモバイルアプリやInfrastructure as Codeツールへのサインイン時にもMFAを段階的に導入する予定だという。
MFAの義務化は、Microsoftが2023年11月に開始した「Secure Future Initiative」の一環だ(注2)。この取り組みは、同社のプラットフォームやサービスに主要なセキュリティ機能を統合することで、サイバーセキュリティ戦略を抜本的に見直すものだ。
Microsoftのサティア・ナデラCEOは、2024年4月に自社のサイバーセキュリティを強化すると強調し、セキュリティを最優先事項とした(注3)。これは、サイバー安全審査会(CSRB)による「Microsoftは、セキュリティよりも製品やサービスを市場に供給するスピードを優先している」という厳しい批判を受けてのことだった(注4)。
企業においてMFAの導入は依然として難題だ。しかし、MFAの導入は壊滅的な攻撃を防ぐ重要な要素だ。
2024年2月にヘルスケアテクノロジー企業のChange Healthcareを襲ったランサムウェア攻撃と(注5)、データウェアハウスプラットフォームを提供するSnowflakeの顧客100社以上を標的とした一連の攻撃は(注6)米国で最も深刻な被害をもたらした。これらの攻撃は、MFAを導入していないシステムを狙ったものだ。
Microsoft Azureはインフラストラクチャやコンピュート、サービス基盤として機能している。調査企業であるSynergy Research Groupによると、MicrosoftはAmazon Web Servicesに次ぐハイパースケーラーであり、第2四半期にはクラウドインフラストラクチャサービスの市場において23%のシェアを獲得した(注7)。
MicrosoftによるMFAの義務化は厳格なものだが、同社は顧客が要件を満たすために使用できるMFAの種類について柔軟な対応をしている。
ユーザーは「Microsoft Authenticator」やセキュリティキーの「FIDO2」、証明書ベースの認証、パスキー、テキストメッセージまたは音声ベースの承認通じてMFAを利用できる。
出典:Microsoft mandates MFA for all Azure users(Cybersecurity Dive)
注1:Announcing mandatory multi-factor authentication for Azure sign-in(Microsoft)
注2:Microsoft overhauls cyber strategy to finally embrace security by default(Cybersecurity Dive)
注3:Microsoft CEO says security is its No. 1 priority(Cybersecurity Dive)
注4:Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
注5:Change Healthcare, compromised by stolen credentials, did not have MFA turned on(Cybersecurity Dive)
注6:What we know about the Snowflake customer attacks(Cybersecurity Dive)
注7:Cloud Market Growth Stays Strong in Q2 While Amazon, Google and Oracle Nudge Higher(synergy)
関連記事
多要素認証はこうして突破される 5大攻撃手法と防御策
サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。
4社が被害に遭った「多要素認証リセット詐欺」 そのやり口とは?
多要素認証技術を導入するとよりセキュアな環境を構築できる。しかし、多要素認証にも抜け穴があった。
「多要素認証」導入の手引き 失敗する理由は?
セキュリティの強度を補う手段に多要素認証がある。だが、SMS認証や指紋認証、物理トークンを用いた認証など多数の技術があり、選択基準が分かりにくい。どのように多要素認証を選べばよいのだろうか。
© Industry Dive. All rights reserved.