Boxでは、管理者を悪意のある人物から確実に保護するための継続的な取り組みの一環として、管理コンソールで特定の重要な操作を実行する前に追加で多要素認証 (MFA) を要求しています。 まもなく、ドメインの追加または削除を重要な操作のリストに追加し、これを行う前に追加の認証を要求する予定です。 この新しい制限は、不正なユーザーアクセス、フィッシングなどのソーシャルエンジニアリング攻撃のほか、悪意のある人物が侵害した管理者アカウントを使用して承認済みの新しいドメインを追加することに起因するドメイン検証の回避といった脅威の軽減に役立ちます。
侵害された管理者の資格情報や権限による被害は、通常ユーザーの場合の被害よりもはるかに大きくなる可能性があるため、Boxでは引き続き、重要なBox管理者を守るために追加の保護を導入します。 これまで、Boxでは、悪意のある人物が侵害された管理者の資格情報を使用して新規の管理者アカウントを作成できないよう制限するゼロトラストの保護をリリースし、以下の操作に対するMFAの確認を追加してきました。
-
組織のMFA要件を変更する
-
組織のシングルサインオン (SSO) を有効または無効にする
Boxアカウントでの多要素認証の詳細については、こちらを参照してください。