「10種類の設定ミス」が危ない 企業ネットワークを守るには
NSAとCISAは企業のネットワークインフラには弱点が残っており、10種類の設定ミスをまず確認すべきだと発表した。
国家安全保障局(NSA)とサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2023年10月の初めの勧告で「大企業のネットワークインフラには弱点が残っており、問題が修正されないままになっている」と述べた(注1)。
設定ミスのトップ10はこれだ
サイバーセキュリティの専門家やアナリストによると、最も一般的な設定ミスのトップ10は次の通りだ。
(1)ソフトウェアとアプリケーションのデフォルト設定
(2)ユーザーと管理ユーザーの不適切な分離
(3)内部ネットワークの監視が不十分
(4)ネットワークセグメンテーションの欠如
(5)パッチ管理の不備
(6)回避できてしまうシステムアクセス制御
(7)多要素認証(MFA)の脆弱(ぜいじゃく)性や設定ミス
(8)共有サービスにおける不十分なアクセス制御リスト
(9)認証情報の管理の不備
(10)コード実行権限の不備
この10項目を確認し、ベストプラクティスとして活用することが望ましい。CISAによると、サイバーセキュリティの体制が成熟している企業にもこれらの弱点が残っていることがあるという。
CISAによると、連邦政府のサイバー当局はネットワークの専門家とソフトウェアメーカーに対して「一般的な問題の修正」を要請しており、「セキュアバイデザイン」の原則の重要性を強調した形だ。
サイバーセキュリティの専門家にとっては、今回の10項目は珍しいものではない。Gartnerのカテル・ティエルマン氏(バイスプレジデント・アナリスト)によると、このリストは10年前に発表されたものからほとんど変わっていないという。
「大企業がこれらの問題に対処できないのであれば、中小企業はさらに悲惨な状況だろう。これらの設定ミスは、基本的なサイバーハイジーンができていないことを意味するシステム的な弱点だ。今や誰もが知っているベストプラクティスであっても、現実の世界で実施することは決して容易ではない」(ティエルマン氏)
サイバーセキュリティの基本は(注2)、基本だからといって簡単なものではない。
「このリストと連邦政府機関からの通達の最大の違いは、ソフトウェアメーカーの行動を促しているかどうかという点だ」(ティエルマン氏)
セキュアバイデザインとセキュアバイデフォルトを推進
CISAと他の機関は、2023年4月に発表された一連の原則と戦術を推進しており、製品を製造する企業が製品のセキュリティに関する責任を追うべきだと強調し(注3)、製品を使用するユーザーに責任を負わせないように努めている。
CISAと他の機関は、勧告において次のように述べた。
「NSAとCISAはセキュアバイデザインとセキュアバイデフォルトの原則を採用して、顧客のセキュリティ向上についてソフトウェアメーカーが主導権を持つように奨励している」
これらの対策には、最初から製品アーキテクチャにセキュリティコントロールを組み込むこと、パスワードの廃止、多要素認証の義務付け、追加費用を求めることなく高品質な監査ログを取得できることなどが含まれる。
NSAとCISAは、これらの最も一般的な弱点に対する詳細な対策を共有しており、ネットワーク管理者に対してはデフォルトの認証情報の削除や未使用のサービスの無効化、パッチ適用の自動化、管理アカウントと特権の制限と監視をするよう助言した。
調査事業を営むForrester Researchのヒース・マリンズ氏(シニアアナリスト)は次のように述べた。
「これらの対策はプロジェクトの初日から取り組むべきであり、プロジェクトが終わってから対処するのでは遅過ぎる。ハードコーディングされたパスワードはもちろん、ID設定の逸脱や資産保護、ネットワークアクセスは、いずれも日常業務の一部であり、別々に取り組むことではない。経営陣は今回の報告書を警鐘と認識すべきだ。なぜならば、これらの問題は非常に一般的で、まん延しており、セキュリティについて深く理解していない者にはイメージしにくいからだ」
出典:CISA’s top 10 misconfigurations reveal ‘systemic weaknesses’(Cybersecurity Dive)
注1:NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations(CISA)
注2:Security basics aren’t so basic ? they’re hard(Cybersecurity Dive)
注3:CISA, partner agencies unveil secure by design principles in historic shift of software security(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
「比較表」で分かる37個のセキュリティ目標、コストと効果から優先順位を導く
米国政府はサイバーセキュリティを強化するために役立つ37個の目標を打ち出した。技術的なもの、戦略的なもの、費用がかかるもの、そうでないもの、さまざまだ。あなたの会社は目標を幾つ満たしているだろうか。
複雑化する「セキュリティチェックシート」の問題 情シス目線で現状とリスクを整理
2022年6月16日、サイボウズの青野代表が「セキュリティチェックシートが抱える問題点」についてツイートしたところ、とても大きな反響がありました。本連載(全5回)では、セキュリティチェックシートの問題点を洗いだしながら、「クラウドサービスを利用するためのリスク評価とコントロール」について解説します。