米国の3政府機関がYubiKeyによるハードウェアベースのMFAを採用した理由

原題:Why 3 government agencies are relying on hardware-based MFA with YubiKeys

Shamalee Deshpande

米国政府は攻撃を受けています。より正確に言えば、連邦、州、地方のいずれのレベルの自治政府も四六時中、被害者の興味を引くものは何でも利用する詐欺師、高尚なサイバー犯罪者、さらに国家的行為者による攻撃にさらされています。

私たちはこれまでも、政治的なe-mailを盗んだり、選挙システム内の情報を漁ったり、米国の送電システムに侵入するといった行為を行う情報機関の話を耳にしています。しかしそれらは政府のサイバーセキュリティを侵害し新聞の一面を飾るだけです。一般的に耳にするあらゆるサイバー攻撃のうち、その何千件かの攻撃は被害者さえ気づかないうちに行われているのです。最近のある調査によると州、地方、地域、民族的な自治政府への攻撃は、2017年から2020年の間に50%増加しているそうです。それらの数字は問題を控えめにしてしまっていないかと筆者は懸念しています。

実際、政府機関は相当頭を悩ませています。公的情報へのアクセスを増やして、業務を速く、より効果的にしたいのですが(とりわけコロナ渦で市民サービスは急速にオンライン化が進んでいます)、一方で在宅勤務者の安全を確保し、重要な個人情報を守り、選挙や民主主義の規範を守ることを含む、アメリカの重要インフラの安全を守る必要があります。そして彼らは限られた予算でそれを為さなければならないのです。

政府機関がこれまで行ってきたサイバーセキュリティ対策は不十分でした。パスワードはわずかな保護にしかならず簡単に忘れてしまうものです。SMS認証コードやモバイル認証アプリのような、単純なMFAの手法は依然としてフィッシング攻撃の対象になり得ます。これらのオプションは無いよりましですが、十分ではありません。代替としてのスマートカードでは強固な認証を得られますが、高価であり配布の方法にも課題があります。(とりわけ全世界的なパンデミックの真っ只中では!)

政府機関の重要性と、しかし限られた予算の中では、強力な認証方式でありながらも配布容易性と経済性を備えたYubiKeyのような方式への移行が必要でしょう。実際、2021年の州および地方のいくつかの技術的優先事項ではハードウェアMFAは以下のような重要な役割を担っています。
・インフラとプロセスの近代化
・ハイブリッド型業務や人材のサポート
・接続性とアクセス容易性の確保
・最先端情報の保護
これらの重要事項を連邦、州、地方の機関が2021年度のセキュリティ対策における参考にできるよう、私たちは政府技術部門と共同で、ハードウェアベースのセキュリティキーを用いたMFAの重要なユースケースを解説した記事を発行しました。記事には実例としてミッションビエホ市、サクラメント市、ワシントン州の3つの政府機関が彼らの重要なシステムを守るためにYubiKeyを採用した例を挙げ、また以下の観点における解説をしています。

より安全なリモートワークインフラを構築する。

リモートワークへの移行は新たなセキュリティ境界と、対処すべき脆弱性をもたらしました。
多くのITリーダーたちは、システムへアクセスしてくる個人との新たな信頼関係の構築に頭を悩ませています。
ハードウェアベースのMFAセキュリティキーでは、中間者攻撃の危険性を低減し、政府職員のリモートワーク環境に多くの柔軟性を与え、認証のためのモバイルデバイスを配布するような高額なコストも抑えることができます。

安全なデジタルサービス

いかなる状況においてもでもビジネス継続性を確保するための重要な要素として、多くの政府機関がデジタルサービスを提供しています。政府のIT責任者は、既存IDとアクセス管理を統合できるソリューションとして、ハードウェアセキュリティキーベースの MFAを使用することで、内部サービスと外部の市民向けデジタル サービスの両方の運用の合理化と、セキュリティ強化が可能となります。たとえば、最新の FIDO2 および WebAuthn 規格は、外部向けの顧客サービスに最適な認証方法です。

重要な選挙インフラを守る

現在最も注目され(2021年は米国大統領選挙とその不正疑惑に注目が集まっていました)ており、全ての選挙や住民投票において非常に重要なことですが、自治体が有権者登録データベース、選挙管理システム、電子投票簿、その他の選挙インフラを最強の認証で保護し、アカウントの乗っ取りを100%阻止するために、ハードウェアベースのMFAがどのように活用できるか、ということです。
ユーザーの多くが一時的なボランティアである場合、これはとりわけ重要な項目です。
政府機関には国民を保護するという絶対的な義務がありますが、多くの認証方式はその任に適していません。世界に目を向ければ、英国のNCSC(National Cyber Security Centre)やEUのサイバーセキュリティ(ENISA)などの政府機関は、MFAソリューションへの移行を推奨しており、その中でもハードウェアセキュリティキーベースのMFAは最強のものになります。

とても簡単に利用できる強力なMFAの技術とツールは、もう誰にでも入手可能です。

詳細は、Yubicoのホワイトペーパー“How State and Local Governments Are Combatting Account Takeovers.” をご覧ください。

お問い合わせ

ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。

 プラットフォームソリューション事業部門
 ITプロダクト&サービス事業本部
 セキュリティプロダクト部

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人