豪州主導の「エッジデバイスのための緩和戦略」に日本も共同署名、企業向けに7つのリスク緩和策を提示

　内閣サイバーセキュリティセンター（NISC）は2月4日、豪州サイバーセキュリティセンター（ACSC）が策定した文書「エッジデバイスのための緩和戦略」（Mitigation strategies for edge devices）に共同署名したことを発表した。

　同文書では、エッジデバイスを、企業内のネットワークとインターネットとの間のセキュリティ境界として機能するネットワークコンポーネントと定義し、具体的には、ファイアウォールやVPNコンセントレーター、エンタープライズ向けルーターなどを挙げている。

　これらエッジデバイスを標的とした攻撃が増加していることを踏まえ、リスク緩和のための戦略を示した内容となっており、NISCでは、日本でも国内企業などがエッジデバイスに対するリスク緩和策を参照することでサイバーセキュリティ強化に大いに資することから、共同署名に加わったと説明している。協力国は日本のほか、豪州、米国、英国、カナダ、ニュージーランド、韓国、オランダ、チェコの9カ国。

　文書内では、ネットワークセキュリティの強化と脆弱性軽減のための戦略として、次の7つのトピックを挙げている。あわせて、ベストプラクティスや実施方法を提示する、戦略構築の参考ともなった文献として、各国のセキュリティ機関などが紹介しているドキュメントを紹介している。

• エッジを知る
  ネットワークの周辺がどこにあるかを理解し、その周辺に配置されているエッジデバイスを検査するよう努める。サポートが終了したデバイスを特定し、それらを取り外し、交換する
• セキュア・バイ・デザイン機器を調達する
  製品開発中にセキュア・バイ・デザインの原則に従っているメーカーからの調達を優先し、調達プロセスの一環として、メーカーに対し製品のセキュリティを明示的に要求する
• セキュリティ強化のガイダンス、更新およびパッチを適用する
  特定のベンダーがセキュリティを強化するガイダンスを利用していることを検証して実装する。また、不正利用から保護するため、エッジデバイスに対するセキュリティパッチと更新の迅速な適用を確保する
• 強力な認証を実装する
  不正利用から保護するため、エッジデバイス全体において、フィッシングに対する耐性のある多要素認証等の認証を実装する
• 不要な機能とポートを無効にする
  組織において使用されていない、エッジデバイスで利用可能なオプション機能を検査し、これを無効とすることで、機器の攻撃対象範囲を減少させる。また、開かれたポート数を減らす
• 管理インターフェイスを安全にする
  管理インターフェイスをインターネットに直接接続しない
• 脅威検出のための監視を一元化する
  インシデントの検出のため、イベントログの保存と完全性を保護する。また、ログへのアクセスの一元化を確保する