Google、AWS、Microsoftが顧客にこぞって義務付ける「あるセキュリティ対策」とは？

クラウドサービスを攻撃するサイバー攻撃に対抗するにはどうすればよいのだろうか。いろいろな対策が考えられる。基本は認証回りを固めることだろう。

[Matt Kapko，Cybersecurity Dive]

　Googleは2024年11月4日（現地時間、以下同）、クラウドサービス「Google Cloud」の認証を変えていくと発表した。クラウドサービスに対するサイバー攻撃に対抗するには認証回りを固めることが早道だからだ。

Googleは何を義務付けたのか

　それではGoogle Cloudのユーザーはどうすればよいのだろうか。「Amazon Web Services」（AWS）や「Microsoft Azure」のユーザーとっても関係ない話ではないようだ。

　Google Cloudが発表した内容を一言で表すと「全ユーザーに多要素認証（MFA）を義務付ける」ということだ（注1）。2025年末までにMFAを段階的に実装していく予定だ。

　同社によると、同サービスを定期的に使用するユーザーが保有するGoogleアカウントの70％以上がすでにMFAを実装しているという（注2）。これを100％に高める施策だ。

　Google Cloudの施策は3段階のフェーズに分かれる。フェーズ1は2024年11月に始まり、MFAの導入を同社が促進する段階だ。フェーズ2は2025年の早期にパスワードによるログインに対してMFAを義務付ける。フェーズ3は2025年末を予定している。Google Cloudの認証システム外で管理されている認証情報を使用してGoogle Cloudにアクセスするユーザーに対してもMFAの義務付けを拡大する予定だ。

3大クラウドがMFAで足並みをそろえた

　Google Cloudは2023年から管理者アカウントにおいてMFAを実装し始めた。これはAWSやMicrosoftが取った類似の措置に続くものだ。3大クラウドプロバイダーはいずれも、2025年の終わりまでに一部または全部の顧客に対してMFAを義務付けることになる。

　各クラウドプロバイダーがアクセスポリシーを一斉に変更したことは、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の取り組みを後押しし、支持するものだ。セキュリティの責任を顧客からベンダーに移そうとするCISAの「セキュア・バイ・デザイン」の取り組みにおいてMFAは中核となる要素だ（注3）。

　Google Cloudでエンジニアリングを担当し、優秀エンジニアの称号を持っているマヤンク・ウパディヤ氏（バイスプレジデント）は、MFAの義務化について次のように述べた。

　「この変更は私たち自身の経験と米政府機関が提示する強力な証拠に基づいている。CISAはMFAの実装によりハッキングされる可能性が99％低下することを発見した。これは変更を義務づけるに足る強力な理由だ」

　2024年の初めにAWSは、高度な権限を持つユーザーに対するMFAの義務化を開始し（注4）、同年6月にはより広範囲な段階的実装を開始した（注5）。

　2024年10月にMicrosoftは、Microsoft Azureの全てのサインインに対してMFAの義務化を開始し（注6）、「2025年の初めには追加サービスのサインインにおいてもMFAを段階的に実装する」と述べている。

出典：Google Cloud to mandate MFA for all users in 2025（Cybersecurity Dive）注1：Mandatory MFA is coming to Google Cloud. Here’s what you need to know（Google Cloud）
注2：An Overview of Google's Commitment to Secure by Design（Google）
注3：CISA, partner agencies unveil secure by design principles in historic shift of software security（Cybersecurity Dive）
注4：AWS kicks off cloud race to mandate MFA by default（Cybersecurity Dive）
注5：Passkeys enhance security and usability as AWS expands MFA requirements（AWS）
注6：Microsoft mandates MFA for all Azure users（Cybersecurity Dive）