2021年6月、米国のCISA(Cybersecurity and Infrastructure Security Agency)は、ベストプラクティスの反対である「Bad Practices」と呼ばれる「推奨されないサイバーセキュリティの慣行、技術、構成のカタログで構成したリスト」をリリースしています。
CISA Adds Single-Factor Authentication to list of Bad Practices | CISA
最初のリストには2つの項目しか含まれていませんでしたが、今回CISAの担当者は新しい「Bad Practices」をリストに追加しました。リモートアクセスや管理者アクセスシステムに一要素認証を使用することが追加されています。
「一要素認証は、セキュリティレベルの低い一般的な認証方法です。これは、システムにアクセスするために、パスワードのような1つの要素をユーザー名に一致させることだけを必要とするものです」。
その代わりに、CISAは組織に対し強力な認証を実装するためのガイドを確認することを推奨しています。このガイドでは、インターネットに接続されたアカウントだけでなく、あらゆる種類のアカウントを保護するために、多要素認証が推奨されています。
現在、CISAのBad Practicesカタログには、以下の項目が含まれています。
- サポートされていない(または耐用年数が終了した)ソフトウェアの使用
- 既知/固定/デフォルトのパスワードおよび認証情報の使用
- システムへのリモート・アクセスまたは管理者アクセスに対する単一要素認証の使用
現在、CISAの担当者がカタログに追加することを検討しているものは次のようなものが検討されています。
- 脆弱な暗号関数や鍵のサイズの使用
- フラットなネットワーク・トポロジー
- ITとOTのネットワークが混在している
- 全員が管理者であること(最小権限の欠如)
- 過去に侵害されたシステムを無害化せずに利用する
- 管理されていないネットワーク上で、機密性の高い、暗号化されていない/認証されていないトラフィックを送信する
- 物理的な管理が不十分
セキュリティ専門家は、GitHubページを通じて、他の「バッドプラクティス」を参照することもできます。
What makes a good "bad practice"? · cisagov/bad-practices · Discussion #8
There are lots of practices in cyber security that are considered "bad", or anti-patterns. What elevates a practice to c...
Comments