ネットワーク エッジの強化:ファイブ アイズ エージェンシーが重要なデバイスの保護について企業にアドバイス

エッジ デバイスへの攻撃が増加し、攻撃者による企業ネットワークへのさらなる侵入が可能になっているため、誰もがセキュリティ対策を強化する時期が来ている、とファイブ アイズ アライアンスの機関は述べています

5 か国の国家情報機関は、ファイアウォール、ルーター、VPN (仮想プライベート ネットワーク) ゲートウェイ、モノのインターネット (IoT) デバイス、インターネットに接続されたサーバー、インターネットに接続された OT (オペレーショナル テクノロジー) システムなどのネットワーク エッジ デバイスやアプライアンスをサイバー攻撃から保護することを目的とした一連の文書で、自国のゲームでスパイを倒すためのアドバイスを企業に提供しました。

ファイブ・アイズ同盟は、オーストラリア、カナダ、ニュージーランド、英国、米国の諜報機関を結集しています。さまざまな機関がそれぞれ、ネットワーク エッジの保護という課題に異なる角度から取り組み、火曜日に報告書を発表しました。

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、このガイダンスの序文で「外国の攻撃者は日常的にネットワークエッジデバイスのソフトウェアの脆弱性を悪用して、重要なインフラストラクチャのネットワークやシステムに侵入している。被害は費用と時間がかかり、官民の組織にとって評判に壊滅的な影響を与える可能性がある」と述べている。 「これらのガイダンス文書には、セキュリティ侵害の前後でより安全で復元力のあるネットワークを実現するためのさまざまな考慮事項と戦略が詳しく記載されています。」

新しい文書は、メーカーが設計上安全なデバイスを構築するのに役立つ米国のガイドラインに追加されたものです。 Canadian Center for Cyber Security (CCCS) は、エッジ デバイスのセキュリティに関する考慮事項の主導者であり、企業 IT 向けの To-Do リストの詳細を提供するだけでなく、リモート ワーカーや個人デバイス持ち込み (BYOD) モデルを使用する組織向けのセキュリティに関する具体的なガイダンス、さらにはエッジ デバイスのメーカー向けのガイダンスにもリンクしています。

解決された問題

また、セキュリティが不十分なネットワーク管理インターフェイス (NMI) を備えた製品のメーカーに対する、それほど微妙ではない攻撃の中で、「ベンダーが自社の製品を強化して、インターネットに公開された NMI の安全性を維持することは可能です。これは解決された問題であり、顧客はベンダーに NMI をセキュリティで保護するためにデバイスを強化するよう要求する必要があります。」

英国の国家サイバー セキュリティ センター (NCSC-UK) が主導する「ネットワーク デバイスおよびアプリケーションの製品のデジタル フォレンジック モニタリング仕様」は、フォレンジック可視性の最小要件に焦点を当てています。ここでは、何をログに記録する必要があるか、ログをどのように保存して保護するか、インシデント発生時のフォレンジック データ取得の要件について詳しく説明します。

「このガイダンスで概説されている可観測性とデジタルフォレンジックのベースラインの最低レベルに従うことで、デバイスメーカーとその顧客は、自社のソリューションに対する悪意のあるアクティビティをより適切に検出および特定できるようになるでしょう」と同社は述べている。 「デバイス メーカーは、ネットワーク防御者によるフォレンジック分析を容易にするために、ネットワーク デバイスやアプライアンスのアーキテクチャに含める標準機能のベースラインを確立するためにもこれを使用する必要があります。」

オーストラリアは、「エッジデバイスの緩和戦略:行政指導」と「エッジデバイスの緩和戦略:実務者ガイダンス」の 2 つの文書で主導権を握りました。オーストラリア信号局のオーストラリア サイバー セキュリティ センター（ASD の ACSC）が主導するこれらのガイドでは、エッジ デバイスの効果的な保護、強化、管理に関する緩和戦略とベスト プラクティスの概要と、運用、調達、サイバーセキュリティのスタッフがエッジ デバイスへのリスクを軽減するために実装する 7 つの緩和戦略に関する技術的な詳細を提供します。

「オーストラリア信号総局 (ASD) のオーストラリア サイバー セキュリティ センター (ACSC) は、エッジ デバイスの侵害に関連するインシデントの件数が憂慮すべき増加を指摘している」と実務者ガイダンスには記載されています。 「エッジ デバイスはインターネットに公開されており、通常は監視が難しく、ネットワーク上の他の資産にアクセスできるため、悪意のある攻撃者にとって魅力的な侵入ポイントとターゲットを提供します。」

CISA が主導する最後の文書は、製造業者向けの Secure-by-Design 原則に関する 2023 年ガイドの最新版であり、実装に関するリソースへのリンクが含まれています。

「Secure by Design の原則に基づいて設計された製品は、顧客のセキュリティを単に技術的な機能として扱うのではなく、中核的なビジネス要件として優先します」と紹介 Web ページには記載されています。 「製品の開発ライフサイクルの設計段階で、企業はセキュア・バイ・デザインの原則を実装して、広く使用または消費するために市場に導入する前に、悪用可能な欠陥の数を大幅に減らす必要があります。製品は、追加コストなしで利用できる多要素認証 (MFA)、ログ、シングル サインオン (SSO) などの追加セキュリティ機能によって、すぐに使用できるセキュリティ機能を備えている必要があります。」

デバイスメーカーが準拠すれば大したことはない

IDC のセキュリティと信頼担当グループ副社長である Frank Dickson 氏は、メーカー向けのガイダンスに特に興奮しています。 「これは非常に大きな出来事だ」と彼は言った。 「特にデバイス メーカーが降伏してこれらの要件に準拠する場合、これは当然のことながら巨大です。」

「これらのデバイスはミッションクリティカルです」と彼は付け加えました。 「そして、これらのデバイスの一部には、[デバイスを流れる] データ量の点で途方もない量の脆弱性があります。」それにもかかわらず、多くの製品は内部で何が起こっているかを可視化していないため、顧客はメーカーがファームウェアの更新において適切な仕事をしており、積極的に取り組んでいるかどうかを評価することができないと同氏は述べました。

Gartner の著名な副社長アナリストである Katell Thielemann 氏も、このガイダンスには満足していますが、これは単なる始まりに過ぎないと述べています。

「この勧告は、ファイブ・アイズコミュニティがベストプラクティスを生み出すために協力していることを示すという点で前向きです」と彼女は述べた。そして彼らは「インターネットに接続されているものはデフォルトで公開されており、潜在的なターゲットであることをコミュニティに思い出させ続けています。」

OT は IT ではありません

しかし、彼女は、インターネットに接続されたファイアウォール、ルーター、IoT デバイス、OT システムをアドバイザリーでひとまとめにすることがコミュニティにとって有益であるとは感じていません。また、「エンタープライズ IT が世界の中心であり、『エッジ』がそこにあると想定しているため、どちらもそれらを『エッジ デバイス』とは呼んでいません。」

「それはファイアウォール、ルーター、VPN ゲートウェイには当てはまるかもしれませんが、OT システムには当てはまりません」と彼女は続けました。 「これらの OT システムは、価値創造の生産環境とミッションクリティカルな環境をサポートするサイバーフィジカル システム (CPS) です。それらはエッジではなく、運用の中核です。」

多くはリモート操作とメンテナンスをサポートするためにインターネットに接続されているため、「その目標は、これらのシステムに安全にリモートからアクセスする方法についてアドバイスを提供することであり、そのアドバイスの論調は、IT セキュリティ ツールやプロセスが必ずしも良いアイデアとは限らない運用の現実を対象としている必要があります。」

Dickson 氏も、このガイダンスは良い第一歩であると考えていますが、「デジタル フォレンジックのログ記録と可視化を許可すれば、問題が発生した場合にそのデバイスで実際に修復、つまりある種の阻止を実行できるのも良いことでしょう。」

「これはしばらくの間、大きな問題となっていた」と彼は言う。 「複数のファイブ・アイズ加盟国全体で大規模な連携した行動が行われているという事実は、非常に重要です。それは強力で、大声で、適切で、すべて良いことです。率直に言って、私は彼らがこのことを発表したことに非常に感銘を受け、ただ『神に感謝します、ついにこの問題に取り組むことになりました。』と思っていました。」

「私たちがする必要があるのは、いくつかの非常に大規模な組織に、将来これらのエッジ デバイスを購入するための要件として [ガイダンス] を導入してもらうことだけです。そうすれば [問題は] 解決されます。」

ニュースレターを購読してください

編集者からあなたの受信箱に直接届きます

以下にメールアドレスを入力して始めてください。