8月30日、米国のサイバーセキュリティ庁(CISA)は、重要インフラや政府機関、民間企業を壊滅的なサイバー攻撃にさらす可能性のある「非常に危険な」サイバーセキュリティ手法のリストに、一要素認証を追加した。
CISA Adds Single-Factor Authentication to list of Bad Practices
今回より、バッドプラクティクスのリストには以下が含まれるようになった。
- サポートされていない(または製造中止の)ソフトウェアを使用
- 既知の/固定の/デフォルトのパスワードや認証情報を使用
- システムへのリモートアクセスや管理者アクセスに一要素認証を使用
CISAは、「これらのバッドプラクティスは、すべての組織が回避すべきものですが、重要インフラや国家基幹機能(NFC)をサポートする組織では特に危険です」と述べている。
さらに、CISAは以下のような他のプラクティスを追加することを検討している。
- 脆弱な暗号関数や鍵のサイズを使用
- フラットなネットワークトポロジー
- ITとOTのネットワークの混在
- 全員が管理者(最小権限の欠如)
- 過去に侵害されたシステムをサニタイズせずに利用
- 管理されていないネットワーク上での、機密性が高く、暗号化/認証されていないトラフィックの送信
- 物理的コントロールの不備
バッドプラクティスのリストは焦点を絞ったものである。
リストに含まれていないサイバーセキュリティ行為について、CISAが支持したり、許容レベルのリスクであると判断したわけではないとしている。