強固な認証が米連邦政府ITシステムに急速普及、Cybersecurity Sprintが後押しに

strongauthenticationブログ

-English-

近年多様化するサイバー攻撃はその標的を世界規模に広げており、世界的にサイバー攻撃の脅威にさらされています。今後さらに情報資産を守ることが重要となり、強固な認証が必要となるのは必至です。現在世界を含めどのような施策が行われているのかをお伝えすると共に、どのような対策ができるのかなどご紹介します。

第一回

ここ最近、米連邦政府機関は、政府の職員や米国民間業者に影響を与える一連の個人情報が流失する事件に見舞われています。最も大きな被害として 2015年6月、米連邦人事管理局(OPM)のシステムが中国からとされているサイバー攻撃により、米連邦政府の現・元職員、採用候補者などの個人情報が流出、その被害が約2,200万人におよぶという調査結果を公表しました。また、連邦政府職員の身元調査書類といった、連邦政府の最重要機密データを含めると、流出規模さらに甚大であることが確認されています。

このデータ流出事件によって、連邦政府機関のITセキュリティがいかに脆弱であったかということが浮き彫りになりました。特に、OPMが業務委託する契約業者、キーポイント・ガバメント・ソリューションズ社がIPアドレス制御やアクセスログの取得さえも実施しておらず、今回のハッキングを防御できなかった原因として、非難されています。OPMは機密データの管理には強固な認証を実装し最上位レベルで保護を行わなければいけない、という連邦政府の指示に明らかに従っていませんでした(*2、*3を参照)。このことも事態をさらに悪化させた原因とされています。なお、OPMの47にのぼる主要なシステムにおいて、認証を強化するための施策、例えばPIV(Personal Identity Verification)カードの導入が2014年まで実施されておらず、ほぼすべてのシステムでユーザー名とパスワードのみの認証でアクセスができるようになっており、攻撃者によるネットワークシステムへの侵入を容易くしてしまうほど、セキュリティ対策が甘かったと報告されています。

これを受け、連邦政府は緊急対応としてCybersecurity Sprintキャンペーンを1ヶ月実施し、連邦政府関係機関がITセキュリティに遅れを取っていることや現時点での技術的ガイドラインに基づく実装にさえ不備があるとして問題喚起を行いました。2015年7月31日に発表された最初の報告では、二要素認証使用率は2011年より戦略として発議されて以来、2014年までの間で42%と低迷していましたが、1ヶ月間のCybersecurity Sprintキャンペーンでその使用率が42%から72%と飛躍的な上昇をみせたということです。この報告から、強固な認証は、連邦政府機関にこれまでさほど重要視されず、なかなか導入が進まなかったものの、ITセキュリティ対策として”導入は難しくない”ということが分かります。

しかしながら、報告書内でCybersecurity Sprintが目標として掲げている悪意のある攻撃や脅威に関する詳細な調査や重大な脆弱性へのパッチ適用に関する具体的な成果報告がされておりません。それらの調査結果と、1ヶ月間という短い期間でCybersecurity Sprintが掲げる強固な認証という目標に達し得なかった各連邦政府機関の進捗状況については、今後、情報の詳細が明らかになり次第お知らせします。

出典:
*1 “EPIC” fail—how OPM hackers tapped the mother lode of espionage data
http://arstechnica.com/security/2015/06/epic-fail-how-opm-hackers-tapped-the-mother-lode-of-espionage-data/
*2 OBM M-04-04
https://www.whitehouse.gov/sites/default/files/omb/memoranda/fy04/m04-04.pdf
*3 NIST.SP.800-63-2
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-2.pdf
*4 OPM FISMA Audit 2014
https://www.opm.gov/our-inspector-general/reports/2014/federal-information-security-management-act-audit-fy-2014-4a-ci-00-14-016.pdf
*5 Cybersecurity Sprint Results

2018-06-20T11:14:35+09:002015.09.09|Categories: Strong Authentication ブログ|Tags: |