「Exchange Online」の先進認証への切り替え、10月までに–米CISAが要請

今回は「「Exchange Online」の先進認証への切り替え、10月までに–米CISAが要請」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Microsoftが2022年10月1月に「Microsoft Exchange Online」の基本認証(Basic Authentication)を無効化する前に、速やかに先進認証(Modern Authentication)へと切り替えるよう全組織に要請した。

 基本認証でサポートされていない重要な機能の1つに多要素認証(MFA)がある。MFAはIDやパスワードを狙う攻撃に対抗する最善の保護策の1つだ。

 CISAが連邦機関に先進認証への切り替えを速やかに実施するよう促している理由には、Biden米大統領が2021年5月に署名した大統領令第14028号もある。サイバーセキュリティに関するこの大統領令ではMFAが要求されており、その実装が組織に対して求められている。

 CISAは、10月1日までに切り替えを済ませておくようあらゆる組織に促している。10月1日は、Microsoftが基本認証を使用している世界各地のテナントに対する切り替えを開始する日だ。CISAのガイダンスには「CISAはすべての組織が10月1日までに先進認証への切り替えを実施し、MFAを有効化するよう要請する」と記されている。

 Microsoftによると、テナント側で基本認証をいったん無効化すると、基本認証を依然として使用しているすべてのクライアント(「Microsoft Outlook」から、「Exchange ActiveSync」に接続されている「PowerShell」スクリプトやアプリに至るまで)が接続できなくなるという。

 政府機関以外の組織も、CISAが今回公開した無料ガイダンスを利用できる。

 Microsoftは1年以上も前から先進認証への切り替えをあらゆる組織に促してきている。同社は当初、2021年の後半に基本認証を無効化する計画だったが、新型コロナウイルスのパンデミックの発生を受け、2021年2月にその計画を延期し、最終的に期限を2022年10月とした。

 先進認証はセキュリティ面で有効なものだ。同社は1月に、ある特殊な細工が施されたフィッシング攻撃において、基本認証を用いている顧客すべてが影響を受けたものの、先進認証を有効化しているほとんどの顧客は影響を受けなかったと報告している。

 同社のExchange Onlineチームは5月、CISAも一読を推奨している同社ブログへの投稿に、Exchange Onlineでは依然として多くの顧客が基本認証を使用していると記している。また同チームは、Exchange Onlineの特定プロトコルで基本認証を使用し続けている顧客に向け、10月1日より同認証の無効化を開始すると説明している。

 ただ、対象となるすべての顧客が使用している基本認証を一斉に無効化するのではなく、ランダムに選択したテナントに対して7日前に警告を送付した後、無効化することになるという。なお同社は10月以降、無効化の時期に関して顧客から例外を要求することはできないと警告している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
小野薬品工業、キナクシスのSCMでグローバルサプライチェーンを強化
IT関連
2024-10-11 03:11
SNSやSMSも使うソーシャルエンジニアリングの特徴と対策
IT関連
2022-08-27 11:29
IBM、「Watson Health」事業の売却を検討か
IT関連
2021-02-22 21:14
SUPER STUDIO、経営管理クラウド「Loglass 経営管理」導入–予実管理を効率化
IT関連
2024-02-06 17:28
5月18日は「SQLインジェクション」「モリサワ」が話題に 今日のトレンドをサクッとおさらい
ネットトピック
2021-05-19 23:50
ガートナー、AI時代の情報漏えい対策要素を発表
IT関連
2024-10-31 03:19
不確実性の高まりがクラウドへの移行を後押し–ガートナー調査
IT関連
2022-11-10 22:13
和牛、ヘラジカ、羊の細胞株で培養肉を高級化するY Combinatorスタートアップ「Orbillion Bio」
フードテック
2021-04-06 20:45
インド通信省が5G試験を承認、中国企業は含まれず
その他
2021-05-06 16:43
10年前に「ムーアの法則が終わる」と言われた頃から現在までのサーバ進化の技術的模索を振り返る(後編)
サーバ
2023-09-13 20:13
法務管理クラウド「GVA manage」、案件の公開・非公開の切り替え機能をリリース
IT関連
2023-07-12 05:25
JICAのWebサイトに不正アクセス、個人情報8418件が流出 Salesforce設定に不備
クラウドユーザー
2021-03-18 11:05
ウイルスの突然変異予測からClubhouse話者識別まで、今、人工知能に期待されていること
人工知能・AI
2021-03-30 02:29
ThinkPad着想の「ThinkPhone」はビジネスユーザーに最適なスマートフォン
IT関連
2023-05-18 14:06