アンドリュー・オール
· 2分で読めます
iCloudはセキュリティが優れている
米国の最高サイバーセキュリティ担当者は、AppleのiCloudのセキュリティを賞賛し、TwitterとMicrosoftは、その実現方法についてクパチーノを参考にすべきだと考えている。
月曜日にカーネギーメロン大学で行われた講演で、サイバーセキュリティ・インフラセキュリティ庁(CISA)のジェン・イースターリー長官は、セキュリティにおける説明責任と透明性の好例としてAppleを挙げた。例えば、CNBCによると、イースターリー長官はiCloudユーザーの95%が多要素認証(MFA)を有効にしているというAppleの声明を引用した。
MFAは推奨されるセキュリティ機能で、特定の状況下でApple IDを使ってログインする際に、Appleデバイスに送信される一意のコードを入力する必要があります。例えば、AppleはApple PayやSign in with Appleなどの機能やサービスでMFAの有効化を義務付けています。
イースタリー氏によると、AppleがMFAをデフォルトにしていることが、高い導入率の理由だという。その結果、「Appleはユーザーのセキュリティ成果に対する責任を負っている」と彼女は述べた。
対照的に、イースタリー氏は、マイクロソフトとTwitterのユーザーにおけるMFA導入率は低かったと述べた。マイクロソフトの企業顧客の約4分の1がMFAを使用している一方、Twitterユーザーでは3%未満しかMFAを有効にしておらず、この結果は「残念」だと彼女は述べた。
Twitter は 2 月に、SMS セキュリティ認証機能を有料の Twitter Blue サブスクリプションの背後に配置しました。ただし、無料ユーザーは認証アプリまたはセキュリティ キーを使用して MFA を有効にすることができ、これらは SMS 認証よりも安全です。
しかし、イースターリー氏は、両社が導入数を透明性を持って開示していることを依然として高く評価している。
「これらの組織は、MFA導入に関する徹底的な透明性を提供することで、デフォルトでのセキュリティ確保の必要性を浮き彫りにしています」と彼女は述べた。「より多くの組織が彼らの先例に倣うべきです。実際、すべての組織は、テクノロジープロバイダーが採用している慣行や管理策に関する透明性を求め、調達や利用に先立ち、そうした慣行を受入れの基本基準として採用するよう求めるべきです。」
イースタリー氏はさらに、新たな法律は「テクノロジーメーカーが契約によって責任を放棄することを防ぎ、特定の重要インフラ事業体におけるソフトウェアに対するより高い注意基準を確立し、ソフトウェア製品やサービスを安全に開発・維持する企業を責任から守るためのセーフハーバー枠組みの開発を推進する」べきだと述べた。
Appleは、多要素認証だけでなく、デバイスとサービスに多層的なセキュリティ対策を施しています。例えば、2022年には「Advanced Data Protection」をリリースし、ほとんどのサービスにエンドツーエンドの暗号化を追加しました。
ADPの一部として、ユーザーは物理セキュリティキーを使用した新しいMFAオプションを利用できます。物理セキュリティキーは、コンピューターに接続したり、NFCやBluetoothを使用してデバイスにワイヤレス接続したりできる小型のUSBデバイスです。これにより、Apple IDやその他のオンラインログインを、ワンタイムパスコードの代わりにデバイスで認証できます。
