パスワードの使い回し禁止も大事だけど、もっと大事なID防御策をオンにしよう：半径300メートルのIT

「既知の悪用された脆弱性カタログ」を公開するCISAは、5月を「MFAMay」、つまり多要素認証の強化月間に設定しています。これを機に皆さん、多要素認証を導入しませんか。

[宮田健，ITmedia]

　筆者が最近ウォッチしているセキュリティ情報の一つに、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の公開する「既知の悪用された脆弱（ぜいじゃく）性カタログ」（Known Exploited Vulnerabilities Catalog）があります。

　これはその名の通り、サイバー攻撃者に悪用されている既知の脆弱性をリスト化したもので、頻繁にアップデートされています。ITmedia エンタープライズでも毎週のように同リストに関する記事が公開されているので、聞き覚えがある読者の方も多いでしょう。

　既知の悪用された脆弱性カタログは、米国当局がどういった脆弱性に注目しているかを端的に確認できるため非常に有用です。F5製の負荷分散装置「BIG-IP」の脆弱性（CVE-2022-1388）など昨今注目を集める脆弱性がリストアップされていますので、定期的にチェックすることを強くお勧めします。

既知の悪用された脆弱性カタログ（出典：CISAのWebサイト）

今や必須ともいえる多要素認証　しっかり有効化していますか？

　実は上記について調べているうちに、CISAが面白いプロモーションをしていることに気が付きました。どうやら5月は「MFAMay」月間だったようです。洋楽がお好きな方なら、思わずニヤリとする投稿が行われています。

　これは「#EnableMFA」、つまり「多要素認証を有効にしよう」キャンペーンの一環で、少々柔らかめな印象で多要素認証（Multi Factor Authentication）をアピールしています。多要素認証はご存じの通り、「知識情報」「所有情報」「生体情報」といった複数の要素を組み合わせた認証方法で、一般的には上記2つ以上を使って高度なセキュリティを実現するものです。

　CISAというと、既知の悪用された脆弱性カタログのように企業向けに情報を出す印象がありますが、一般利用者を含めた国民全体に統一したメッセージを出していると認識を改めました。