- CISAは、サポート対象外のエッジデバイスの撤去を求める拘束力のある運用指令を発出した
- それらは「不釣り合いで容認できないリスク」をもたらし、容易に是正できる
- 政府だけでなく、あらゆる組織がハードウェア更新に注力すべきだ
米政府のサイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、セキュリティ上の懸念から、サポート終了(EOS)に達した、または既に過ぎたエッジデバイスを撤去するよう連邦機関に新たな警告を発した。
米政府機関には、影響を受けるデバイスを今後1年以内に撤去し、ベンダーのセキュリティ更新の対象となっている機器に置き換えることが求められている。
この動きの背景にはサイバー攻撃の増加があり、脅威アクターはセキュリティパッチが提供されなくなった脆弱なデバイスに狙いを定めている。
米政府、サポート対象外デバイスの撤去を指示
同庁はエッジデバイスを、ファイアウォール、ルーター、スイッチ、無線アクセスポイント、ネットワークセキュリティアプライアンス、IoTエッジデバイスなど、公衆インターネット経由でアクセス可能なものだと説明した。
CISAは、販売期限を過ぎたデバイスは連邦システムに対して「不釣り合いで容認できないリスク」をもたらすようになったと述べた。しかし、一部の機関が米政府に対してもたらし得るリスクにもかかわらず、CISAはそれが「是正可能」なものだとしている。
「各機関は、EOS期日が近いハードウェアおよびソフトウェアを特定するためにライフサイクル管理の実務を成熟させ、適時の置き換えを計画し、ベンダーがサポートする代替品を調達し、機関の業務への影響を最小限に抑えながらEOSデバイスを廃止する計画を策定すべきである」と、拘束力のある運用指令(BOD 26-02)には記されている。
CISAはまた、覚書M-22-09(米政府をゼロトラスト・サイバーセキュリティ原則へ移行させる)にも言及し、多要素認証(MFA)、適切な資産管理、重要ワークロードの分離、データ暗号化といった対策を採用してセキュリティを最大化すべきだと機関に促した。
CISAは影響を受けるデバイスの一覧を公表する予定はないものの、脅威の高まりと容易な是正を理由に、連邦機関に限らずすべての組織に対してこの指針に従うよう推奨している。
