はじめに
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦機関に対し、製造元からのセキュリティアップデートが提供されなくなったネットワークエッジデバイスの特定と排除を義務付ける新たな拘束力のある運用指令(BOD 26-02)を発表しました。これは、連邦政府のシステムを保護するための重要な措置です。
指令の内容と背景
CISAは、ルーター、ファイアウォール、ネットワークスイッチなど、サポート終了(End-of-Support: EOS)となったエッジデバイスが、新たに発見された脆弱性に対する悪用リスクに連邦システムを晒していると警告しています。同庁は、「EOSエッジデバイスを実行している政府情報システムに対する差し迫った悪用脅威は大きく、継続的であり、連邦資産に重大な脅威をもたらす」と述べ、高度な脅威アクターによる広範な悪用キャンペーンを認識していることを強調しました。これらのデバイスは、もはやメーカーからのサポートアップデートを受けられないため、「不均衡で許容できないリスク」を引き起こします。
主要な義務とスケジュール
BOD 26-02は、連邦政府機関に対し、以下のスケジュールでEOSハードウェアおよびソフトウェアの廃止措置を義務付けています。
- 即時対応:アップデートが利用可能なベンダーサポート対象デバイスに対しては、直ちに対処を開始すること。
- 3ヶ月以内:CISAのサポート終了リストにあるすべてのデバイスのインベントリを作成すること。
- 12ヶ月以内:指令発行日以前にサポート終了に達したデバイスを廃止すること。
- 18ヶ月以内:特定されたすべてのEOSエッジデバイスを、現在のセキュリティアップデートを受け取るベンダーサポート対象の機器に交換すること。
- 24ヶ月以内:エッジデバイスを特定し、サポート終了が近づいている機器やソフトウェアのインベントリを維持するための継続的な発見プロセスを確立すること。
広範な影響と過去の取り組み
この要件は主に米連邦政府の民生行政機関(FCEB)に適用されますが、CISAはすべてのネットワーク防御者に対し、ネットワークエッジデバイスを標的とする脅威グループに対するシステム、データ、および運用を保護するためのガイダンスに従うことを奨励しています。
過去には、CISAは2023年6月に、連邦民生機関に対し、誤設定された、またはインターネットに露出した管理インターフェース(ルーター、ファイアウォール、プロキシ、ロードバランサーなど)を保護することを義務付けるBOD 23-02を発行しています。また、その数ヶ月前には、ランサムウェア攻撃に対して脆弱なネットワークデバイスを持つ重要インフラ組織に対し警告を行う「ランサムウェア脆弱性警告パイロット(RVWP)プログラム」を開始すると発表していました。