海の向こうの“セキュリティ”
米国が示した“中国関連の脅威アクターから守るためのベストプラクティス”とは
国際パートナーと連名で「通信インフラの可視性強化および堅牢化ガイダンス」公開
2025年1月14日 06:00
米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency:CISA)、国家安全保障局(National Security Agency:NSA)、連邦捜査局(Federal Bureau of Investigation:FBI)は、国際パートナーと連名で共同ガイド「通信インフラの可視性強化および堅牢化ガイダンス(Enhanced Visibility and Hardening Guidance for Communications Infrastructure)」を公開しました。名を連ねているのは以下の機関です。
- オーストラリア通信電子局(Australian Signals Directorate:ASD)のサイバーセキュリティセンター(Australian Cyber Security Centre:ACSC)
- カナダ・サイバーセキュリティセンター(Canadian Centre for Cyber Security:CCCS)
- ニュージーランド国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC-NZ)
また、ガイド作成にあたってはCiscoとGoogle Cloud Securityが協力していることも明記されています。
このガイドは、中国関連の脅威アクターが主要な国際通信プロバイダーのネットワークを侵害し続けている現状を踏まえ、通信インフラのネットワークエンジニアや防御者向けに、可視性を強化し、ネットワークデバイスを堅牢化するためのベストプラクティスを提供することを目的としています。内容については、通信インフラ事業者に限らず、オンプレミスのエンタープライズ機器を備えた組織にも適用できるとしています。
ガイド本文は以下のような構成となっています。同じ内容がPDFでも提供されており、表紙や参考文献などを含めても9ページと、比較的コンパクトにまとまっています。
- 導入(Introduction)
- 可視性の強化(Strengthening Visibility)
- 監視(Monitoring)
- ネットワークエンジニア(Network Engineers)
- ネットワーク防御者(Network Defenders)
- 監視(Monitoring)
- システムとデバイスの堅牢化(Hardening Systems and Devices)
- プロトコルと管理プロセス(Protocols and Management Processes)
- ネットワークエンジニア(Network Engineers)
- ネットワーク防御者(Network Defenders)
- Cisco製品固有のガイダンス(Cisco-Specific Guidance)
- プロトコルと管理プロセス(Protocols and Management Processes)
- インシデント報告(Incident Reporting)
- セキュア・バイ・デザイン(Secure by Design)
- リソース(Resources)
- 参考文献(References)
- 免責事項(Disclaimer)
- 謝辞(Acknowledgements)
- バージョン履歴(Version History)
ここからは「可視性の強化」と「システムとデバイスの堅牢化」について簡単に要約したものを紹介します。あくまで概要であり、原文ではより具体的に記載されていますので、詳細については原文をご確認ください。
可視性の強化
このガイドの文脈では、可視性とは組織がネットワーク内のアクティビティを監視、検出、および理解する能力を指す。高い可視性は、ネットワークトラフィック、ユーザーアクティビティ、およびデータフローを詳細に把握し、ネットワーク防御者が脅威、異常な振る舞い、および脆弱性を迅速に特定できることを意味する。可視性は、特にインシデントを特定して対応する場合に、ネットワークエンジニアと防御者にとって非常に重要である。
ネットワークエンジニア
- ネットワークデバイスの設定管理においては、変更管理プロセス外で行われる設定変更を厳密に監視する必要がある。未承認の変更を検出するための包括的な警告メカニズムを実装し、デバイスの設定は中央集中型で管理し、定期的に検証する。
- ネットワークフロー監視においては、主要な入口および出口地点に戦略的に配置されたフローデータエクスポーターとコレクターを使用し、トラフィックの可視性を確保する。
- 管理トラフィックのインターネットへの開示を最小限に抑え、理想的には専用の管理ワークステーションからのみアクセスを許可する。
- ユーザーおよびサービスアカウントのログイン異常を監視し、非アクティブなアカウントを無効化することで、攻撃対象領域を減らす。
- セキュアで中央集中型のログ管理システムを構築し、ログデータを暗号化して外部に保存することが重要である。可能であれば、SIEM(セキュリティ情報およびイベント管理)ツールを導入し、迅速なセキュリティインシデント検出を実現する。
- デバイスとファームウェアのインベントリを最新の状態に保ち、効果的な可視性と監視を確保する。
ネットワーク防御者
- 最低限、構成管理を徹底し、定型管理業務を自動化し、環境内で検出された変化(接続やユーザーおよびアカウントのアクティビティなど)に対してアラートを出すように監視およびネットワーク管理機能を実装する。
- インフラとプロダクション・エンクレーブ(業務システムや本番環境)のアーキテクチャ、および両環境が交差または分離される場所を把握する。ネットワーク管理エンクレーブの境界および入出ポイントをマッピングし、理解する。
- 外部に公開すべき資産を特定し、公開すべきでないものは削除する。企業ネットワーク外部からの接続を受け入れる全てのデバイスを綿密に監視し、開いているポート、サービス、予期しないGeneric Routing Encapsulation(GRE)またはIPsecトンネルの使用など、既知の適切な設定に準拠しない設定を調査する。脅威アクターが外部向けの脆弱なサービスを悪用する傾向があるため、ネットワークとセキュリティ運用の適切な可視性が重要である。
- 必要に応じて、パケットキャプチャ機能を企業全体の可視化戦略の一部として実装する。
システムとデバイスの堅牢化
デバイスとネットワークアーキテクチャを堅牢化することは多層防御戦略である。脆弱性を減らし、セキュアに設定する習慣を改善し、ベストプラクティスに従うことで、中国関連およびその他のサイバー脅威の潜在的な侵入ポイントを制限できる。
ネットワークエンジニア
- 運用データネットワークから物理的に分離した帯域外管理ネットワークを構築し、デバイス管理を厳密に制御する。
- デフォルト拒否のアクセス制御リスト(ACL)戦略を実装し、ネットワークセグメンテーションを徹底する。
- 外部向けサービスは非武装地帯(DMZ)に配置し、仮想LAN(VLAN)による論理的な分離を行う。
- インターネットからのデバイス管理を禁止し、専用の管理ワークステーションのみを許可する。
- VPNゲートウェイのセキュリティ強化、不要なプロトコルの無効化、エンドツーエンド暗号化の実施、強力な認証方式の採用など、多層的なセキュリティ対策が推奨される。
- 証明書管理、デフォルトパスワードの変更、ソフトウェアイメージの整合性確認など、細部にわたるセキュリティ対策も重要である。
ネットワーク防御者
- 不要または脆弱なサービスやプロトコルを無効化し、インターネット向けサービスを適切に保護する。
- ポートスキャンを実施し、不要なインフラを削除し、必要なインフラを継続的に監視する。
ネットワーク防御者とネットワークエンジニアは以下を実現するために緊密な連携とオープンなコミュニケーションを確保する必要がある。
- ネットワーク構成は暗号化されたプロトコルで保存・追跡し、定期的に監査する。
- ベンダーのEOL(供給終了)告知を監視し、可能な限り迅速にアップグレードする。
- 変更管理システムを実装し、ベンダーの脆弱性とパッチ情報を継続的に確認する。
- パスワードは安全なハッシュアルゴリズムで保存し、複雑さの要件を満たす必要がある。
- フィッシング耐性のある多要素認証を全アカウントに要求し、ローカルアカウントの使用を緊急時のみに制限する。
- セッショントークンの有効期間を制限し、ロールベースのアクセス制御戦略を実装する。
- 不要なアカウントを削除し、最小権限の原則に従って権限を管理し、継続的にアカウントを監視する。
あくまでベストプラクティスを紹介するもので、特に奇抜で斬新な推奨項目があるわけではないですが、コンパクトにまとまっていますので、簡易的なチェックリストのように使ってもよいかもしれません。また、ある程度、一般性のある内容ですので、通信インフラ事業者に限らず、多くの企業や組織にとっても十分に役立つ内容になっています。
ただし、今回紹介した内容はあくまで要約であり、曖昧で分かりづらいところもあるかと思いますので、詳細については原文をご確認ください。特に「システムとデバイスの堅牢化」については、ネットワークエンジニア向け、ネットワーク防御者向けのどちらも、かなり具体的に説明されています。関係者の方々には、ぜひとも原文を読むことを強くお勧めします。
- CISA(2024年12月3日)
CISA, NSA, FBI and International Partners Publish Guide for Protecting Communications Infrastructure - https://www.cisa.gov/news-events/news/cisa-nsa-fbi-and-international-partners-publish-guide-protecting-communications-infrastructure
- CISA(2024年12月4日)
Enhanced Visibility and Hardening Guidance for Communications Infrastructure - https://www.cisa.gov/resources-tools/resources/enhanced-visibility-and-hardening-guidance-communications-infrastructure
- CISA(2024年12月4日)
Enhanced Visibility and Hardening Guidance for Communications Infrastructure(※同じ内容のPDF版) - https://www.cisa.gov/sites/default/files/2024-12/joint-guidance-enhanced-visibility-hardening-guide-for-comms-infrastructure-508c.pdf
- まるちゃんの情報セキュリティ気まぐれ日記(2024年12月5日)
米国 Five Eyes 通信インフラに対する中国のサイバーセキュリティへの脅威についてガイダンス... - http://maruyama-mitsuhiko.cocolog-nifty.com/security/2024/12/post-dd16a9.html
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。