FTC、GoDaddyに対しデータ侵害後のセキュリティ強化を命令

米国連邦取引委員会（FTC）は、ホスティングプロバイダーであるGoDaddyに対し、近年発生した複数のデータ侵害を引き起こしたセキュリティの不備に関する訴追を解決するため、約12の要件を履行するよう最終命令を下しました。FTCの14ページにわたる文書によると、まずGoDaddyはセキュリティおよびデータ保護の慣行、セキュリティ技術の使用、セキュリティおよびプライバシープログラムへの参加について、誤解を招くような表示を今後行ってはならないとされています。これは、同社が実際にはユーザーに対してセキュリティ対策について誤解を招く情報を提供していたことを示唆しています。GoDaddyは90日以内に、責任者を任命し、少なくとも年1回（またはインシデント後）に更新される文書化された包括的なセキュリティプログラムを導入し、内部および外部のセキュリティリスクを評価・管理する必要があります。さらに、180日以内に、サポートされていないソフトウェアやハードウェアの切断またはセキュリティ確保、オペレーティングシステムやアプリファイルの不正変更の監視、従業員、契約者、顧客向けのフィッシング耐性のある多要素認証（MFA）の設定が求められています。また、APIはHTTPS、認証、レート制限、監視によって保護する必要があります。これらの措置は、GoDaddyがホスティングサービスのセキュリティを強化し、ユーザー保護を向上させるための重要なステップとされています。