「Exchange Online」の先進認証への切り替え、10月までに–米CISAが要請

今回は「「Exchange Online」の先進認証への切り替え、10月までに–米CISAが要請」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Microsoftが2022年10月1月に「Microsoft Exchange Online」の基本認証（Basic Authentication）を無効化する前に、速やかに先進認証（Modern Authentication）へと切り替えるよう全組織に要請した。

　基本認証でサポートされていない重要な機能の1つに多要素認証（MFA）がある。MFAはIDやパスワードを狙う攻撃に対抗する最善の保護策の1つだ。

　CISAが連邦機関に先進認証への切り替えを速やかに実施するよう促している理由には、Biden米大統領が2021年5月に署名した大統領令第14028号もある。サイバーセキュリティに関するこの大統領令ではMFAが要求されており、その実装が組織に対して求められている。

　CISAは、10月1日までに切り替えを済ませておくようあらゆる組織に促している。10月1日は、Microsoftが基本認証を使用している世界各地のテナントに対する切り替えを開始する日だ。CISAのガイダンスには「CISAはすべての組織が10月1日までに先進認証への切り替えを実施し、MFAを有効化するよう要請する」と記されている。

　Microsoftによると、テナント側で基本認証をいったん無効化すると、基本認証を依然として使用しているすべてのクライアント（「Microsoft Outlook」から、「Exchange ActiveSync」に接続されている「PowerShell」スクリプトやアプリに至るまで）が接続できなくなるという。

　政府機関以外の組織も、CISAが今回公開した無料ガイダンスを利用できる。

　Microsoftは1年以上も前から先進認証への切り替えをあらゆる組織に促してきている。同社は当初、2021年の後半に基本認証を無効化する計画だったが、新型コロナウイルスのパンデミックの発生を受け、2021年2月にその計画を延期し、最終的に期限を2022年10月とした。

　先進認証はセキュリティ面で有効なものだ。同社は1月に、ある特殊な細工が施されたフィッシング攻撃において、基本認証を用いている顧客すべてが影響を受けたものの、先進認証を有効化しているほとんどの顧客は影響を受けなかったと報告している。

　同社のExchange Onlineチームは5月、CISAも一読を推奨している同社ブログへの投稿に、Exchange Onlineでは依然として多くの顧客が基本認証を使用していると記している。また同チームは、Exchange Onlineの特定プロトコルで基本認証を使用し続けている顧客に向け、10月1日より同認証の無効化を開始すると説明している。

　ただ、対象となるすべての顧客が使用している基本認証を一斉に無効化するのではなく、ランダムに選択したテナントに対して7日前に警告を送付した後、無効化することになるという。なお同社は10月以降、無効化の時期に関して顧客から例外を要求することはできないと警告している。