加藤です。

「Exchange Online」の先進認証への切り替え、10月までに–米CISAが要請

https://japan.zdnet.com/article/35189887/?_ga=2.248153091.56491386.1656891138-1688613201.1540043073

ZDNet Japanより引用

サイバー攻撃の被害がどれだけ発生してもなくならないBASIC認証ですが、
今年の10月からついにMicrosoftがBASIC認証を無効化する作業を開始するということです。

企業における認証基盤は一度導入してしまうと、様々なシステムと紐づいてしまうため、
いくらセキュリティー上まずいとわかっていても、
おいそれと変更できないという事情はたしかにわかります。

実際、10万人規模の認証切り替えプロジェクトを担当したこともありますが、
BASIC認証でないと連携できないという化石級のシステムが次から次へとあふれ出てきた
現実はかなり頭痛が止まらない案件でした。

とはいえ、そういうところが脆弱性となり、
企業の存続が危ぶまれる事故が起きているのもまた事実です。
Emotetなどが猛威を振るうように、メールシステムは特に注意が必要です。

あくまで私個人の考えですので、もし参考になればというレベルですが、
とにかくBASIC認証でないというシステムがある場合、
それが重要である場合は、認証システムを一時的に2本立てにしてしまうことをオススメします。

大切なシステムだけでも一刻も早く高度な認証に切り替え、
残るシステムは廃止か存続かという別次元の議論を平行して行っていく、
こうすることで迅速にリスクを減らすことができるのです。

まぁ、コストがかかりすぎることや手間が倍以上になるという問題はありますが、
情報漏洩により会社が倒産するぐらいならと一度検討してみるのはいかがでしょうか?

本日はそろそろBASIC認証にサヨナラをというお話でした。