CISA による携帯通信のベストプラクティス

米国 CISA が携帯通信のベストプラクティスを公開している。

• Mobile Communications Best Practice Guidance | CISA
• Mobile Communications Best Practice Guidance

この記事では覚え書きとして記しておく。

一般的な推奨事項

“General Recommendations” としては以下の8つ。

1. Use only end-to-end encrypted communications.
   例として Signal を挙げている
2. Enable Fast Identity Online (FIDO) phishing-resistant authentication.
   Yubico や Google Titan のようなハードウェアベースのキーを推奨しているが代替手段として FIDO パスキーも許容されるとある
3. Migrate away from Short Message Service (SMS)-based MFA.
   MFA (Multi-Factor Authentication; 多要素認証) の2番目の要素として SMS は使わないという話。ただしアカウント回復フローとして SMS を使う場合があるため完全な排除は現実的ではないと述べている
4. Use a password manager to store all passwords.
   例として以下のアプリを挙げている
   • Apple Passwords app
   • LastPass
   • 1Password
   • Google Password Manager
   • Dashlane
   • Keeper
   • Proton Pass
5. Set a Telco PIN.
   スマホの画面を開くときの PIN コードではなくキャリアとの間で決めている PIN コード。いわゆる SIM スワッピングに対抗するための重要なステップだと述べている
6. Regularly update software.
   OS とアプリの両方のアップデート。自動更新を有効にしろとある
7. Opt for the latest hardware version from your cell phone manufacturer.
   古いハードは最新のセキュリティ機能が組み込まれていない場合があるため
8. Do not use a personal virtual private network (VPN).
   無料および商用 VPN プロバイダーのセキュリティおよびプライバシーポリシーは怪しいとして，プライベート VPN の利用はセキュリティリスクを ISP から移転しているだけに過ぎないと述べている

iPhone 固有の推奨事項

私は iPhone も iPad も持ってないので “iPhone-Specific Recommendations” についてはよく分からない。 ので，項目を列挙するだけに留める。

1. Enable Lockdown Mode.
2. Disable the following setting to ensure messages do not send as SMS if iMessage is unavailable.
   • Disable: Settings → Apps → Messages → “Send as Text Message”
3. Protect your Domain Name System (DNS) queries.
4. Enroll in Apple iCloud Private Relay.
5. Review and restrict app permissions through Settings → Privacy & Security.

携帯端末の維持は難しい

個々の項目についての感想は控えるが，スマホを含む携帯端末は紛失・盗難リスクが高い上にハードウェアや OS のバージョンアップ・サイクルが短く（自宅機の買い替えが8年単位の私から見て）頻繁に買い替えが必要なのが致命的だと思っている。 これのせいでスマホを認証デバイスとして使うことに躊躇してる。 如何にしてスマホに依存しないオンライン活動をするか，だよなぁ…

ブックマーク

• Authenticator と AAL
• 誰が「パスワードは複雑なものにしろ」と言ったのか