ニュース
CISA「バッドプラクティス」に単一要素認証を追加
US-CERTは「バッドプラクティス」(セキュリティリスクの高い悪しき慣行)のリストに「単一要素認証」を追加した。特に重要インフラストラクチャや国家基幹機能サービスでの単一要素認証のみの利用は推奨できないとしている。
米国のコンピュータ緊急事態対策チーム(US-CERT:United States Computer Emergency Readiness Team)は2021年8月30日(現地時間)、サイバーセキュリティ慣行の「バッドプラクティス」(セキュリティリスクの高い悪しき慣行)のリストに、単一要素認証の利用を追加したと発表した。リモートシステムや管理アクセスシステムへの認証に単一要素認証のみを利用するのは推奨できないと、米国当局が明言したことになる。
単一要素認証は、ユーザー名とパスワードを利用した認証方式だ。US-CERTは「こうした脆弱(ぜいじゃく)なセキュリティ対策は、全ての組織で避けるべきだ。特に重要なインフラストラクチャや国家基幹機能サービスでの利用は危険だ」と注意を呼びかけている。
特に悪い慣例をまとめた「BAD PRACTICES」とは?
関連記事
二重脅迫型のランサムウェア「Hive」に要注意 FBIが報告書を公開
2021年6月にはじめて活動が観測されたRaaSである「Hive」は、複数の攻撃者に利用されており、セキュリティに大きな課題を突きつけている。FBIはこれを受けてHiveに関する報告書を公開した。
Cisco製品に複数の脆弱性 セキュリティアドバイザリの確認を
Ciscoは、複数の製品に関するセキュリティドバイザリを発行した。今回発表された脆弱性の中には深刻度が緊急(Critical)に分類されるものもあるため注意が必要だ。必要に応じてアップデートを適用してほしい。
OpenSSLにDoS攻撃を引き起こす脆弱性 迅速なアップデートの適用を
US-CERTは、広く利用されるSSL/TSLライブラリ「OpenSSL」に脆弱性が発見されたと伝えた。脆弱性を利用されるとサービス運用妨害(DoS:Denial of Service)が引き起こされる危険性がある。
NSAとCISA、Kubernetesのセキュリティ脅威をまとめたガイダンスを発表
NSAとCISAが、Kubernetes環境のセキュリティ脅威と対策をまとめたガイダンス「Kubernetes Hardening Guidance」を共同で発表した。コンテナ化したアプリケーションの管理やデプロイの自動化にKubernetesを利用している場合はガイダンスに目を通しておく必要がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.