マイクロソフト、ホワイトハウスの「ゼロトラスト」戦略を推進へ

今回は「マイクロソフト、ホワイトハウスの「ゼロトラスト」戦略を推進へ」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは、米連邦機関がホワイトハウスの新たなサイバーセキュリティ戦略で求められる「ゼロトラスト」を実行できるように、幾つかの重要な文書を公開した。

 Joe Biden政権は1月、新たなサイバーセキュリティ戦略を発表した。この戦略は、SolarWindsに対するサプライチェーン攻撃や、石油パイプライン大手Colonial Pipelineなどの重要インフラを狙ったランサムウェア攻撃を受けて署名された、2021年5月の大統領令に基づいている。

 この戦略の核となるのは、ゼロトラストアーキテクチャーだ。米標準技術研究所(NIST)はこの戦略を策定するにあたり、米国のテクノロジー企業やサイバーセキュリティ企業に、ソフトウェアのサプライチェーンを攻撃から守る方法について提案を求めた。

 しかし、サプライチェーンが標的となるなか、攻撃者は、後のサプライチェーン攻撃で悪用するための入り口として、いまだに電子メールによるフィッシングを常套手段の1つとして使用している。

 SolarWindsのソフトウェアがフィッシングメールを用いて侵害されたのか、5月時点では不明だった。しかし、背後にいたNobeliumという攻撃グループはその後、被害者のネットワーク侵入に必要な認証情報を取得するために、クレデンシャルスタッフィング、フィッシング、APIの不正利用、そしてトークンの窃盗に大きく依存していた。

 このように、国家を後ろ盾とする攻撃者やサイバー犯罪者は、認証情報を盗むために企業のアカウントを猛攻撃している。しかし、Microsoftが2月に発表した報告書から、「Azure Active Directory」(Azure AD)のユーザーのうち、多要素認証(MFA)など、強力なアイデンティティー認証を導入している企業はわずか22%であることが分かった。

 Microsoftは2月、組織同士が協力してフィッシングに対抗できるように、テナント間アクセス設定の公開プレビューを発表した。これは両組織がAzure ADを使用している場合、インバウンドおよびアウトバウンドのアクセスを細かく管理できるようにするものだ。信頼できるユーザー同士であれば、MFAの要件も緩和される。

 「インバウンドのトラスト設定により、外部ユーザーがホームディレクトリーで実行するMFAを信頼できると判断する」と、同社は説明した。

 他にも、「フィッシング耐性がある認証を、従業員、ビジネスパートナー、ベンダーに求めることができる機能」などを提供する予定だ。

 また同社は、フィッシング耐性に優れたMFAを強化するために、リモートデスクトッププロトコル(RDP)シナリオにも対応する計画だ。RDPは、ランサムウェア攻撃で最も一般的な侵入口の1つである。

 また、同社は政府機関の顧客向けに、同社技術の観点からゼロトラストアーキテクチャーを実現する方法について説明した5つの「サイバーセキュリティ資産」を公開した。Azureによるクラウド導入、ゼロトラストに向けた迅速な近代化計画、NIST標準に適合するアーキテクチャーシナリオ、Azure AD向けのMFA導入ガイド、そしてサイバーセキュリティに向けた大統領令に関する「インタラクティブガイド」を掲載している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Google、NVIDIA、Qualcomm、インテルらが、RISC-V用オープンソース開発を加速させる組織「RISC-V Software Ecosystem」(RISE)プロジェクトを立ち上げ
Google
2023-06-21 15:09
第3の足として歩行を助けるロボット ランニング補助や転倒防止にも :Innovative Tech
トップニュース
2021-03-13 19:22
マイクロソフト、クラウドストライクの障害に対応した復旧ツールを公開
IT関連
2024-07-24 22:04
レース専用「トミカ」登場 NFCでスマホ連携、アプリでレース再現
くらテク
2021-04-21 07:06
ビジネスメール詐欺の被害が急増–被害にあった企業の8割はMFA未使用
IT関連
2022-10-01 01:12
マイクロソフト、組織再編で1.5万人規模の"デジタル変革プラットフォーム"部門立ち上げか
IT関連
2021-03-22 18:44
キーワードから小説や画像を自動生成 自然言語処理の革命児「GPT-3」の衝撃 (1/2)
くわしく
2021-01-17 17:16
インド政府が同国のコロナ対応に批判的なツイートを削除するようツイッターに命令
ネットサービス
2021-04-26 18:18
オートデスクが提唱する「アウトカムベースBIM」とは
IT関連
2023-11-23 01:03
DDoS攻撃は「ハイパーボリューム型」で生成AIとともに巧妙化–クラウドフレア
IT関連
2024-05-21 08:38
プレシジョン、東京都の新型コロナ患者向け宿泊療養施設にAI問診票「今日の問診票 コロナ宿泊療養者版」を提供開始
IT関連
2022-02-09 02:52
タブレット出荷台数、第2四半期は微増–「Chromebook」は51%減
IT関連
2022-08-03 23:57
京大、ピアノ演奏を“耳コピ”するAIを開発 ゆゆうたさんなどの演奏を採譜したデータも公開
ロボット・AI
2021-06-17 08:23
三菱UFJ銀行、TealiumのCDP導入でマーケティング施策を強化
IT関連
2024-06-15 13:00