Google Cloud to make MFA mandatory by the end of 2025
2024/11/05 BleepingComputer — Google が発表したのは、2025 年末までに、すべてのクラウド・アカウントで多要素認証 (MFA) を必須にし、セキュリティを強化するという方針である。Google Cloud は、クラウドでのアプリケーションとインフラの構築/展開/管理を、企業/開発者/IT チームが容易に実現するための製品である。新たに発表された MFA の展開は、管理者および Google Cloud サービスにアクセスする全ユーザーにとって必須となるが、一般のコンシューマ向けの Google アカウントには影響しない。
Google の発表には、「Google Cloud における MFA の強制は段階的に実装され、2025 年中には、世界中の全ユーザーに対して展開される。Google Cloud におけるスムーズな MFA 移行を、企業とユーザーが計画しやすいようにするために、事前に通知していく」と、記されている。
ユーザー・サイドにおける移行を容易にするために、この変更は3つのフェーズで展開される。
第1フェーズは、2024年11月から始まる。現状のアカウントで MFA を使用していないユーザーに対しては、コンソール画面のリマインダーを通じて、MFA の使用が推奨される。 Google によると、Cloud ユーザーの約 30% が対象なるはずであり、その他の約 70% のユーザーは、すでに MFA を有効化しているという。
第2フェーズは、2025 年初頭に開始される。ログインにおいてパスワードだけを使用する、すべての既存/新規の Google Cloud ユーザーに対して、Google Cloud Console/Firebase Console/gCloud などのプラットフォームで、 MFA を有効化するように通知が届くという。
第3フェーズは、2025 年末までに完了する。すべての Google Cloud ユーザーとフェデレーション・ユーザーに対する MFA 要件が必須となり、ユーザーは ID プロバイダーによる MFA の使用、もしくは、Google による MFA レイヤーの追加が必須となる。
Source: Google
Google によると、Google Cloud ユーザーに対する MFA 要件の強制は、セキュリティ強化のために実施されるものとなる。つまり、巧妙化を加速する脅威からアカウントを保護するための、重要なステップであると考えられており、それにより、機密データの侵害から引き起こされる深刻な損害を軽減していく。
同社が引用する CISA の調査結果では、MFA を有効化しているユーザーがハッキングされる可能性は、99% も低減されるという。また、Google のデータも、この米国政府機関の調査結果を裏付けていると指摘している。
この動きと並行して Google は、ユーザー・フレンドリーな MFA オプションとして、Passkeys などのも開発している。これらのオプションでは、生体認証データを用いることで、安全かつ便利な MFA が実現される。それにより、MFA の強制的な導入により、ユーザー・エクスペリエンスが大きく損なわれるというリスクが軽減される。
Google による強制を待たずに、ただちに Google Cloud アカウントで MFA を有効化する場合には、”security.google.com” にアクセスし、”How you sing in to Google” セクションで、”2-Step Verification” を選択し、画面の指示に従って設定を完了させる。
Source: Google
Cloud Identity 管理アカウントの所有者であり、”2-Step Verification” オプションが表示されない場合には、管理者により制限の対象とされているケースが想定される。
Google Cloud で MFA を設定する際の、詳細な方法の詳細については、Google の公式ガイドを参照してほしい。
Google Cloud での MFA が、ようやく強制的なものになるようです。そうなって当たり前のことなのですが、なかなか そうならない、何かの事情があるのでしょう。その他のメジャー・クラウドは、どうなんでしょうかね? よろしければ、Authn Authz + Cloud で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.