CISA長官、Appleのユーザーのセキュリティ保護に関する取り組みを称賛

 
米国土安全保障省に属するサイバーセキュリティ・インフラセキュリティ庁（CISA）のジェン・イースタリー長官は現地時間2月27日、米カーネギーメロン大学で講演し、Appleがユーザーのプライバシーとセキュリティ保護に注力していることを称賛しました。その一方で、MicrosoftやTwitterにおいて、ユーザーの多要素認証（MFA）の有効率が低いことを指摘しています。
 
なお、多要素認証とは、ログイン時に性質の異なる2つ以上の要素を組み合わせて行う認証方法のことです。

Appleのセキュリティ対策における取り組みを評価

イースタリー長官は、セキュリティ対策における「説明責任と透明性の肯定的な例」としてAppleを取り上げ、iCloudユーザーの95%が2ファクタ認証を有効にしていることを同社が公表していることを指摘しました。彼女は、「この高い利用率はAppleが多要素認証をデフォルトにした結果」であり、またこれは、「Appleがユーザーのセキュリティ成果に対して責任を持っている」ことを示していると述べています。
 
一方、Microsoftの法人顧客のうち多要素認証機能を利用しているのは約4分の1、Twitterユーザーのうち、この機能を有効にしているのは僅か3%であること指摘し、「残念だ」と語っています。それでも、イースタリー長官はこの数字を公表した両社の透明性を称賛しました。
 
彼女は、「MFAの採用に関して徹底的な透明性を提供することで、これらの組織はデフォルトでのセキュリティの必要性に光を当てる手助けをしています」と述べ、「実際、全ての組織がテクノロジー・プロバイダが採用する手法や管理方法について透明性を求め、調達や利用する前に、そうした手法を受け入れるための基本的な基準として採用するよう要求すべきなのです」と続けています。
 
今後、MFAの利用拡大を企業に促す方法についてイースタリー長官は、米国では「技術メーカーが契約によって責任を放棄することを防ぐ」ための法律が必要だと述べました。また、「特定の重要インフラ事業体におけるソフトウェアに対するより高いケア基準を確立し、ソフトウェア製品やサービスを安全に開発、維持する企業を責任会社から保護するためのセーフハーバー・フレームワークの作成を推進する法案も必要」だとしています。

Appleのセキュリティとプライバシー保護に対する取り組み

Appleは、セキュリティとプライバシー保護に積極的に取り組んでいることで知られています。
 
同社は最近、2ファクタ認証の2つ目の情報として代わりに物理的なセキュリティキーを使用できるようにし、サポートページも公開しました。2ファクタ認証では、Apple IDのパスワードと6桁の確認コードが使用されていましたが、確認コードの代わりに物理的なキーを使えるようになり、認証要素を攻撃者に傍受されたり要求されたりする事態を防ぐことが可能になっています。
 
また、セキュリティ研究者に特別なiPhoneを提供するプログラムなども不定期で実施しており、2022年10月には、セキュリティ研究に関する新Webサイト「Apple Security Research」を開設するなどしています。
 
プライバシー保護の取り組みとしては、Appleはこれまでユーザーのデータを、ユーザー自身がコントロールできる「アプリのトラッキングの透明性（ATT）」を導入したり、ATTによるプライバシー保護の重要性を伝えるCMなどを公開しています。
 
また同社のティム・クック最高経営責任者（CEO）は、長年ユーザーのプライバシー保護の重要性を強調してきましたが、2022年6月には同氏がプライバシー法の成立を求める書簡を議員等に送付したと報じられるなど、社内にとどまらずさらにプライバシー保護に対する取り組みを強化しています。
 
 
Source:CNBC via 9to5Mac
(m7000)