AWS to Mandate Multi-Factor Authentication from 2024
2023/10/06 InfoSecurity — Amazon Web Services (AWS) の発表は、デフォルトのセキュリティを向上させ、アカウント乗っ取りのリスクを減らすために、2024年半ばから全ての特権アカウントに多要素認証 (MFA) を義務付けるというものだ。それが義務づけられる時点から、AWS Organizations 管理アカウントの root ユーザーとして、AWS Management Console にサインインする全ての顧客は MFA が必須になると、同社の Chief Security Officer である Steve Schmidt がブログで述べている。
彼は、「MFA を有効化すべき顧客に対しては、コンソールにサインインする際にプロンプトを表示するなど、複数のチャネルを通じて、今後の変更について通知する。私たちは 2024年を通して、このプログラムをスタンドアロン・アカウント (AWS Organizations の組織外アカウント) などの追加のシナリオへと拡大し、さらに MFA の導入とスケール管理を容易にする機能をリリースする予定だ」と付け加えている。
この動きは、MFA の利用率を向上させるために実施してきた、これまでの AWS における取り組みに続くものだ。AWS は 2021年秋から。米国内のアカウント所有者に無料のセキュリティ・キーの提供を開始し、その1年後には、AWS のアカウント・ルート・ユーザーおよび IAM ユーザーごとに、最大で8台までの MFA デバイスを登録できるようにしてきた。
Steve Schmidt は、「私たちは、すべての人が何らかの形態で、MFA を採用するよう推奨している。さらに、顧客に対しては、セキュリティ・キーのようなフィッシングに強い MFA の形態を、選択するよう奨励している。AWS の組織管理アカウントのルート・ユーザーに対して、MFA を有効化する要件は2024年に開始される。しかし、私たちは、顧客のルートユーザーだけではなく、環境内の全ユーザー・タイプにおいても、MFA を有効化する状況へと、今日からでも移行すべきだと強く推奨する」と締め括っている。
MFA は、従業員に対するフィッシング攻撃のリスクを、軽減するための重要なステップである。先月に実施された IBM X-Force の調査によると、2022年6月〜2023年6月において、クラウドが危険にさらすイニシャル・アクセス・ベクターのトップは、脅威行アクターたちによる、有効な認証情報の悪用だった。
それは、同調査における実際のクラウド・インシデントの約 36% で発生しているという。また、それらの悪用された認証情報には、サイバー攻撃中に発見されたものや、フィッシングなどで事前に盗まれものがあるという。
2024年半ばから、AWS の全ての特権アカウントで、MFA が義務付けられるとのことです。MFA に関しては、2023/09/16 の「MFA に対する本質的な問題提起:Okta が護れなかった MGM Resorts インシデントとは?」で問題が提起されていますが、通過点として越えていくべきカベの1つであることは確かです。よろしければ、MFA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.