パスワードのみでは認証しません  ～サイバー攻撃を受けたSnowflake社の決定～

米国のデータウェアハウスサービス事業者である
Snowflake社は先週金曜日（2024年9月13日）に
人間によってログインされるすべてのユーザに
多要素認証を義務付ける決定を発表しました。

これにより、来月10月からはパスワードのみでの認証が
不可能となります。

また、パスワードについても14文字以上で
直近5世代のいずれにも該当しないものに限定されます。

Snowflake社は今年4月に大規模なリスト攻撃で
大量の顧客データ漏洩を引き起こしています。

この事案は、他所で盗まれた認証情報によるものであり、
Snowflake社自身には何らの落ち度は有りませんでしたが、
結果として同社に約1億ドルの被害を与えたとも言われています。

これを受けて、Snowflake社は7月に管理者アカウントにおいては
多要素認証をデフォルトとするなどの対策を実施しましたが、
8月21日の決算発表会で「責任は当社ではなく顧客にある」
と主張したことで一定の物議をかもしていました。

今回の発表は、その3週間後に行われました。

時系列に追っていくと、
一連の市場の反応を見ての対応と見受けられますが、
その背景には、パスワードのみでの認証は
信頼に値しないという確固たる意志を伺うことができます。

今後、追従する事業者次第では一気に
「事実上の標準」となる可能性も有りますので、
当メルマガでも注意して見守っていきたいと思います。

また、読者の皆様には自社の環境でも
検討を始められることをお勧めします。

※こちらは、執筆時点2024年9月18日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。
つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

そして、弊社は、ITインフラとセキュリティの
プロフェッショナル集団として多数の実績を誇る
株式会社アイロバと密接なパートナー関係にあります。

同社はWAFのBlueSphereをはじめとした
国産独自開発のソリューションも多数保有し、
同時に、インターネットから脆弱性の露出状況を
把握できるSecurityScorecardの国内代理店でもあります。

【監修】
サイバーレジリエンス株式会社　CTO 米沢 和希
■CISSP-ISSAP（情報システムセキュリティプロフェッショナル認定）
■CISA（公認情報システム監査人）
■PMP　(プロジェクトマネジメントプロフェッショナル国際資格）