米サイバーセキュリティ庁（CISA）が12月17日、クラウドサービスにおけるセキュリティ強化に法的な拘束力を持つ運用指令を発行した。
この指令は「Microsoft 365」をはじめとする特定のクラウドサービスに対し、CISAが策定した「SCuBAセキュア構成ベースライン」の導入を求め、サイバー攻撃への耐性を脅かす不適切な設定リスクを軽減し、設定評価ツールを利用した定期的な監視を要求するもの。

これにより例外なく古いタイプの認証方式の利用をブロックし、全ユーザーに対して多要素認証の強制など、「SCuBAセキュア構成ベースライン」の準拠が求められる。

2025年2月21日までに対象となるクラウド環境を特定し6月20日までにすべての必須設定を実施することが義務化された。
また、新しいクラウドテナントの運用を開始する際は、設定ベースラインの適用と継続的な監視を行うことも要件とし、今後はさらに対象とするクラウド製品が追加される可能性もある。
1年以内に規制要件が更新されないクラウドサービスは「SCuBAセキュア構成ベースライン」の対象外となり使用できなくなる。

日本の公官庁が使用するクラウドでも、安全担保ができないものは利用対象から削除するなどの強制力が必要だろう。