CISAの新たな指令：連邦政府ネットワークの強化

米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）は、連邦政府の各機関（FCEB）に対し、エッジネットワークデバイスの資産ライフサイクル管理を強化し、メーカーからのセキュリティアップデートが提供されなくなったデバイスを12〜18ヶ月以内に排除するよう命じました。この措置は、技術的負債を削減し、サイバー攻撃のリスクを最小限に抑えることを目的としています。CISAは、国家支援型脅威アクターが、標的ネットワークへの侵入経路として、これらのデバイスをますます悪用していると指摘しています。

エッジデバイスとは？その脆弱性

エッジデバイスとは、ロードバランサー、ファイアウォール、ルーター、スイッチ、無線LANアクセスポイント、IoTエッジデバイス、ソフトウェア定義ネットワークなど、ネットワークトラフィックをルーティングし、特権アクセスを保持する物理的または仮想的なネットワークコンポーネントの総称です。CISAは、「持続的なサイバー脅威アクターは、サポート終了となったエッジデバイス（ファームウェアやその他のセキュリティパッチのベンダーアップデートを受けられないハードウェアおよびソフトウェア）をますます悪用している」と述べています。これらのデバイスはネットワークの境界に配置されているため、新たな脆弱性や既知の脆弱性を悪用する脅威アクターに対して特に脆弱です。

指令の具体的な内容と対応期限

FCEB機関を支援するため、CISAは既にサポートが終了した、または今後終了する予定のデバイスに関する情報を含む「サポート終了エッジデバイスリスト」を作成しました。新たに発行された拘束力のある運用指令26-02「サポート終了エッジデバイスからのリスク軽減」は、FCEB機関に以下の行動を義務付けています。

• 即時実施：サポート対象外のソフトウェアを実行している各ベンダーサポート対象エッジデバイスを、ベンダーサポート対象のソフトウェアバージョンに更新する。
• 3ヶ月以内：すべてのデバイスをカタログ化し、サポート終了デバイスを特定し、CISAに報告する。
• 12ヶ月以内：サポート終了デバイスリストに記載されているすべてのエッジデバイスを、機関のネットワークから廃止し、セキュリティアップデートを受けられるベンダーサポート対象デバイスに交換する。
• 18ヶ月以内：その他特定されたすべてのエッジデバイスを、機関のネットワークから廃止し、セキュリティアップデートを受けられるベンダーサポート対象デバイスに交換する。
• 24ヶ月以内：すべてのエッジデバイスの継続的な発見を可能にし、サポート終了予定または既に終了したデバイスのインベントリを維持するためのライフサイクル管理プロセスを確立する。

サイバーセキュリティ強化へのコミットメント

CISA事務局長代行のマドゥ・ゴットゥムッカカ氏は、「サポートされていないデバイスは連邦政府システムに深刻なリスクをもたらし、企業ネットワークに残すべきではありません」と述べ、さらに「資産のライフサイクルを積極的に管理し、サポート終了技術を排除することで、私たちは集合的にレジリエンスを強化し、グローバルなデジタルエコシステムを保護できます」と強調しました。この指令は、連邦政府機関がサイバーセキュリティ対策を強化し、進化する脅威ランドスケープから重要なインフラストラクチャを保護するための重要な一歩となります。

元記事: https://thehackernews.com/2026/02/cisa-orders-removal-of-unsupported-edge.html