リモートアクセスソフトウェアを悪用するインシデント多発、CISAらがセキュア化ガイドを公開

- NISTのサイバーセキュリティフレームワークなどの一般的な標準に基づく強固なリスク管理戦略を維持する。

- 可能であれば、エンドポイントまたはIDベースのゼロトラストソリューションまたは最小特権使用（least-privilege-use）の構成を採用する。

- ユーザートレーニングプログラムやフィッシング演習を実施し、疑わしいウェブサイトへのアクセス、疑わしいリンクのクリック、疑わしい添付ファイルの開封のリスクに対するユーザーの意識を高める。

※CISAの「Enhance Email & Web Security」を参照。

- システムの監視を支援することができるセキュリティオペレーションセンター（SOC）チームと連携する。

- Active Directoryを監査し、非アクティブなアカウントや古いアカウント、または設定ミスがないかを確認する。

- リスクのレベルに基づいてジャストインタイムアクセス（just-in-time access ※必要がある場合にのみ一時的にアクセス権を付与すること）や二要素認証を使用可能にする。

- 大量のスクリプティングに対する安全策とスクリプトの承認プロセスを用いる。例えば、あるアカウントが1時間以内に10台以上のデバイスにコマンドをプッシュしようとした場合、多要素認証（MFA）などのセキュリティプロトコルを再トリガーしてアクセス元が正当であることを確認する。

- ソフトウェア部品表（software bill of materials: SBOM）を使用して、ソフトウェア製品内のコンポーネントのインベントリを管理する。SBOMの詳細についてはCISAの「Software Bill of Materials （SBOM）」を参照。

- 外部攻撃対象領域管理（External Attack Surface Management: EASM）を活用し、システムやインフラ全体の可視性を高める。EASMは継続的な監視を提供することで、未知の資産を特定し、システムに関する情報を提供するとともに、非準拠の技術、法的免責事項の欠落、著作権表示の期限切れを特定することによってコンプライアンスを支援する。

- ネットワーク上のデバイスのリモートアクセスソフトウェアとその設定を監査し、現在使用されているRMM（Remote Monitoring and Management）ソフトウェアや許可されたRMMソフトウェアを特定する。

- セキュリティソフトウェアを使用して、メモリ内のみにロードされているRMMソフトウェアのインスタンスを検出する。

- リモートアクセスソフトウェアの実行に関する完全なデータ（実行バイナリ、リクエストタイプ、IPアドレス、日時など）を含むログを確認し、ポータブル実行可能ファイル（Portable Executable: PE）として実行されているプログラムの異常な使用を検出する。

- ゼロトラスト原則やセグメンテーションなどのアプリケーション制御を実装して、RMMプログラムの許可リストへの登録やソフトウェアが実行できるアクションの制限など、ソフトウェアの実行を管理および制御する。

- パッチ適用頻度を定期的なものに設定し、リモートアクセスおよびリモート管理のサーバーやエージェントなど、インターネットに直接アクセスする、またはインターネットから直接アクセスされるソフトウェアやシステムを優先する。

- ネットワークのセグメンテーションを実施し、ラテラルムーブメント（水平展開）を最小限に抑え、デバイスやデータ、アプリケーションへのアクセスを制限する。

※CISAの「Layering Network Security Through Segmentation」を参照。

- 一般的なRMMポートおよびプロトコルのインバウンドおよびアウトバウンドの接続の両方をネットワーク境界でブロックし、これらのポートを使うツールの正当な使用のみに制限する。リモートアクセスソフトウェアは、環境内にローカルインスタンスを持ち、かつHTTPSポート443上での稼働を避けるべきである。

- RMMソリューションは、ネットワーク内からVPNや仮想デスクトップインターフェース（VDI）など、承認されたリモートアクセスソリューションを介してのみ使用が認められることが求められる。

- ウェブアプリケーションファイアウォール（WAF）を使用可能にし、HTTPトラフィックをフィルタリングおよび監視することによってリモートアクセスソフトウェアを保護する。

※この軽減策は有益ではあるが、本ガイド作成機関は、運用環境に展開する前にIT管理者がテストすることを推奨する。WAFはリモートアクセスツールの通常の動作を妨害することが知られているためである。

- 契約上の取り決めを通じて管理者が提供しているセキュリティサービスについて十分に理解し、かつ契約の範囲から外れている如何なるセキュリティ要件にも対処できるようにする。注：契約書には、顧客の環境に影響を及ぼすインシデントをMSPやその他のプロバイダーが顧客に通知する方法とタイミングについて詳述すべきである。

- システムの効果的な監視とロギングを使用可能にする。顧客がMSPまたはSaaSプロバイダーに監視とロギングの実施を依頼することを選択した場合、契約上の取り決めにおいて、顧客はプロバイダーが以下を行なうことを確実に要求すべきである：

・プロバイダーが管理する顧客システムの適切な監視およびロギングを使用可能にする包括的なセキュリティイベント管理を実装すること。
・プロバイダーの存在、活動、顧客ネットワークへの接続を含むロギング活動の可視性を、契約上の取り決めで規定されているように、顧客に提供すること。注：顧客はMSPアカウントが適切に監視および監査されることを確実なものにすべきである。

- プロバイダーのインフラおよび管理ネットワークで発生したセキュリティイベントおよびセキュリティインシデントが確認された、もしくは疑われる場合、MSPに通知し、分析やトリアージのためにSOCに送付する。

- ログサーバーへの直接のアクセス、そしてログを削除または変更する機能に、RMMツールがリーチできないようにする。

- 脆弱なデバイスのセキュリティを向上させ、アプライアンスをベンダーのベストプラクティスに沿って堅牢化する。詳細については、共同サイバーセキュリティ情報シート「Selecting and Hardening Remote Access VPN Solutions」を参照。

- 全ての顧客サービスおよび製品にMFAを取り入れる。注：MSPは顧客環境にアクセスできる全てのアカウントにもMFAを導入し、それらのアカウントを特権アカウントとして扱うべきである。

- 読み取り専用の監視のような、一般的な用途向けに「権限を引き下げた」RMMツールを構成する。

- 内部アーキテクチャのリスクを管理し、内部ネットワークを分離する。

- ゼロトラストは最終的に目指すものではあるが、顧客のデータセット（および該当する場合はサービス）を（社内ネットワークから分離するのと同様に）互いに分離することで、単一の攻撃ベクトルの影響を制限することができる。

※複数の顧客間で管理者認証情報を使い回さない。

- サポート終了（EOL: end-of-life）のソフトウェアの使用を避ける。

さらに、顧客と契約条件を交渉する際、インシデント対応と復旧のために、プロバイダーは顧客が購入しているサービス、顧客が購入していないサービス、そして将来起こりうる万が一の事態について明確な説明を行なうべきである。