Google Cloudが多要素認証を必須に その計画が“称賛”される理由：2025年中に全ユーザー必須に

Googleは2025年中にGoogle Cloudの多要素認証（MFA）を必須にする計画だ。この方針は、サイバーセキュリティの業界関係者から好意的に受け止められた。どのような点が好評を得ているのか。

[Alex Scroxton，TechTarget]

　Googleは2024年11月4日（現地時間）、クラウドサービス群「Google Cloud」のユーザーに対し、2025年中に多要素認証（MFA）を必須にすると発表した。この方針に対し、サイバーセキュリティの業界関係者は好意的な反応を示している。どのような点が好評を得ているのか。

“好評価”されたGoogleの計画とは？

　2024年11月現在、パスワードのみでサインインしている全てのユーザーに対し、GoogleはMFAを順次求める方針だ。Google Cloudのエンジニアリング担当バイスプレジデント、マヤンク・ウパディヤイ氏は「円滑な移行のために、エンドユーザーに事前通知を実施し、MFA導入を支援する」と述べる。

　Googleは同年11月から、特にMFAを導入していないエンドユーザーを対象に、管理コンソール「Google Cloud Console」を通じてMFAに関する情報を提供する。

　2025年初頭からは、パスワードでサインインする全ての新規および既存ユーザーにMFAを要求し、以下のツールで通知とガイダンスを表示する。これらのツールを使用し続けたいエンドユーザーは、MFAを導入する必要がある。

• Google Cloud Console
• モバイルアプリケーション開発ツール「Firebase Console」
• CLI（コマンドラインインタフェース）ツール「Google Cloud CLI」（gcloud CLI）
• その他のプラットフォーム

　2025年11月頃までには、Google Cloudと認証を連携する全てのエンドユーザーに対象を拡大する計画だ。エンドユーザーは、Google Cloudにアクセスする前に主要なIDプロバイダーでMFAを有効にすることができる。Google独自のシステムを使用したい場合は、Googleアカウントを通じてMFAのレイヤーを追加することも可能だ。

他社も導入するMFAの必須化

　Google以外のクラウドサービス大手も、MFAを必須にする動きを見せている。Microsoftは2024年10月からクラウドサービス「Microsoft Azure」の一部の機能でMFAを必須にした。ソースコード共有サービス「GitHub」を運営するGitHubも2023年からMFAを必須化している。

　セキュリティベンダーAbnormal SecurityのCIO、マイク・ブリトン氏は、Googleの動きを「遅すぎた」と指摘する。「ソフトウェアベンダーは、MFAやシングルサインオン（SSO）などの基本的なセキュリティサービスを、標準の機能としてエンドユーザーに提供すべきだ。追加のサブスクリプション料金なしでは提供できないほどコストが掛かる場合を除き、基本的なセキュリティサービスを有料にすべきではない」（同氏）

　Keeper Securityのセキュリティおよびコンプライアンス担当バイスプレジデント、パトリック・ティケ氏は「MFAを突然導入した場合、ユーザーエクスペリエンス（UX）を損ねる恐れがある。GoogleはMFAを段階的に導入するため、エンドユーザーはMFAに徐々に慣れることができる」と説明する。

　「Google Cloudを使用するユーザー企業は、従業員へのMFAの導入を計画する必要がある。研修を通じて、MFAの重要性を従業員に周知することが重要だ。認証コードを安全に保存して入力できるパスワードマネジャーを導入して、MFAの導入を促すことも一つの手だ」（同氏）

　セキュリティトレーニングを手掛ける企業KnowBe4のコンテンツ戦略担当シニアバイスプレジデント兼エバンジェリスト、アンナ・コラード氏もGoogleの方針を称賛する。一方で、MFAを導入することだけが解決策にはならないとも指摘する。

　「効果的なセキュリティのためには、複数の手法を組み合わせる多層防御の考え方が重要だ。全てのMFAの品質が同じわけではない。例えば、フィッシング攻撃に有効とされるパスワードレス認証技術『FIDO2』は、テキストやプッシュ通知を使うMFAよりも優れている」と同氏は述べる。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国TechTargetの記事を翻訳して国内向けにお届けします。