サイバーニュース.jp

世界のサイバーなニュースを配信

CISA、連邦機関にサポート切れネットワークエッジデバイスの切断を命令

カテゴリ:

CISA、連邦機関に緊急指令

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦政府機関に対し、ベンダーからのセキュリティアップデートが提供されなくなった「サポート終了(EOS)」のネットワークエッジデバイスの使用を停止するよう命じる、拘束力のある運用指令を発表しました。これは、ネットワーク境界にあるルーター、ファイアウォール、および類似の機器を介した、ハッカーによるシステムへのアクセスに対する懸念が高まっているためです。

CISAは、EOSエッジデバイスがもたらす「差し迫った脅威は重大かつ恒常的である」と警告しており、特に「高度な脅威アクターによるEOSエッジデバイスを標的とした広範な悪用キャンペーン」を認識していると述べています。これらのデバイスは、組織のネットワークへの広範な到達性やID管理システムとの統合から、ハッカーにとって魅力的な侵入経路となっています。

指令の背景と対象デバイス

この指令の対象となるのは、ファイアウォール、ルーター、ネットワークセキュリティアプライアンス、そしてIoTデバイスを含む様々なエッジデバイスです。過去数年間、エッジデバイスの侵害から始まり、破壊的な運用へと発展した国家主導のサイバー攻撃が多発しており、CISAはこの状況を非常に重視しています。

CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるニック・アンダーセン氏は、「サポートされていないデバイスは、決してエンタープライズネットワーク上に残すべきではない」と強調しています。

具体的な対応と期限

この指令は、連邦機関に対して以下の具体的な措置と期限を定めています。

  • 即時: 古いソフトウェアを実行しているエッジデバイスを、ミッションクリティカルな機能に悪影響を与えない限り、ベンダーサポートのあるバージョンに直ちにアップデートすること。
  • 3ヶ月以内: CISAが新たに公開したEOSエッジデバイスリストに掲載されているデバイスの使用状況をCISAに報告すること。
  • 12ヶ月以内: この期限までにEOSとなる、リストに記載された全てのデバイスを廃止し、CISAに報告すること。
  • 12ヶ月以内: リストに掲載されているか否かに関わらず、今後1年以内にサポートが終了する全てのエッジデバイスの棚卸しを行い、CISAに提出すること。
  • 18ヶ月以内: 残りの全てのEOSデバイスを排除すること。
  • 24ヶ月以内: サポートが終了するデバイス、または終了が間近なデバイスを追跡し、EOS日前に使用を停止するためのプロセスを開発すること。

影響範囲と勧告

この指令は連邦機関にのみ拘束力を持ちますが、CISAは地方政府、企業、および海外の同盟国にも、サポートされていないネットワークエッジデバイスを切断するという警告に留意するよう期待しています。また、CISAはFBIおよび英国国立サイバーセキュリティセンター(NCSC)と協力して、エッジデバイス保護のための助言を提供するファクトシートを公開しています。

コンプライアンスと課題

CISAにはサイバーセキュリティタスクを機関に指示する権限がありますが、その指令に対する機関のコンプライアンスを確保する能力には限りがあります。アンダーセン氏は、CISAがホワイトハウスの行政管理予算局(OMB)と協力し、「コンプライアンスを監視し、進捗を評価し、サポートを提供する」と述べています。しかし、機関に期限を守らせる具体的な強制メカニズムについては明言していません。アンダーセン氏は、CISAの役割の一つは、セキュアでないテクノロジーを「必須の市民サービスを提供」し続けることのトレードオフについて機関に助言することだと付け加えています。

元記事: https://www.cybersecuritydive.com/news/cisa-edge-devices-binding-operational-directive/811539/

投稿をさらに読み込む