この最新の動きにより、古い Azure アカウントでも MFA がデフォルトのセキュリティ設定として有効になります。
Microsoftは、Azure Active Directoryのユーザーをアカウント侵害から保護するために、より積極的な対策を講じています。同社は新しいブログ投稿で、既存のAzureユーザーで多要素認証を独自に変更していないユーザー向けに、デフォルトのセキュリティ設定として多要素認証を追加することを明らかにしました。これは、管理者とユーザーの両方が、サインインするたびにMFAを設定し、ログイン情報を保護することが求められることを意味します。
多要素認証は、アカウントとデータを侵害から守る最良の方法の一つです。その理由は単純です。盗まれた認証情報を使ってアカウントにサインインしようとする人は、Microsoft Authenticatorなどのアプリが提供する2つ目の認証方法がなければ、ほとんど何もできません。Microsoftはブログ記事の中で、同社が確認したハッキングされたアカウントの99.9%で多要素認証が有効になっていないため、フィッシング攻撃などの脅威にさらされていると述べています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
デフォルトのMFA設定は、2019年10月以降、Azure ADの新規顧客に対して既に適用されています。3,000万以上の組織がこのデフォルト設定で運用しており、Microsoftによると、この設定により、当該組織全体でセキュリティ侵害が80%減少したとのことです。同社によると、ほとんどの顧客はこの設定をそのまま使用しています。一部の顧客は、データやその他の資産へのアクセスを許可するために複数の条件を満たす必要があるゼロトラスト方式の一種である条件付きアクセスを使用して、セキュリティをさらに強化しています。
この最新の変更は、2019年10月以前にAzure ADにサインアップし、より厳格なセキュリティデフォルトを導入していない、または条件付きアクセスを導入していない組織に適用されます。この取り組みは特に、社内にセキュリティ専門家やITスタッフがおらず、適切なセキュリティ設定を分析・実装できない企業を対象としています。Microsoftによると、新しいデフォルトの導入により、さらに6,000万件のアカウントが最も一般的なタイプのIDベース攻撃から保護される可能性があります。
Microsoftは、適切と判断した組織(デフォルト設定を調整していない組織、条件付きアクセスを使用していない組織、または従来の認証クライアントを使用していない組織)に対し、新しい設定の展開を開始します。6月下旬より、対象となるお客様のグローバル管理者には、メールで変更内容が通知され、サインイン時に新しいセキュリティデフォルト設定を有効にするよう促す通知が表示されます。管理者は、このオプションを最大14日間スヌーズすることができ、14日間経過すると、新しいデフォルト設定が自動的に適用されます(図A)。
図A
新しいデフォルト設定が有効になると、組織内のすべてのユーザーは、14日間の猶予期間内にMFAへの登録を求められます。管理者とユーザーの両方に、Microsoft Authenticatorアプリを使用してMFAを設定するよう促されます。また、管理者には電話番号の提供を求める追加の推奨事項が表示されます。
MFA 要件をすぐに適用したい管理者は、Microsoft の導入ガイドまたは Azure AD ドキュメントに記載されている適切な手順に従ってください。新しいセキュリティのデフォルト設定を無効のままにしておきたい管理者は、もちろんそうすることができます。ただし、Microsoft は、Azure Active Directory フィードバック フォーラムでその理由を共有していただくようお願いしています。
こちらもご覧ください
- サイバーセキュリティのプロになる方法:チートシート
- ビジネスで検討すべき10の最高のウイルス対策製品
- モバイルデバイスのセキュリティポリシー
- サイバーセキュリティとサイバー戦争:さらに必読の記事
ランス・ホイットニー
ランス・ホイットニーは、テクノロジーライター兼トレーナーであり、元ITプロフェッショナルです。Time、CNET、PCMag、その他複数の出版物に寄稿しています。WindowsとLinkedInに関する2冊のテクノロジー関連書籍を執筆しています。
