CISA、連邦政府に対しインターネットに公開されたネットワークデバイスの安全確保を命令

CISAは今年初めての拘束力のある作戦指令（BOD）を発行し、連邦文民機関に対し、設定ミスやインターネットに露出したネットワーク機器を発見後14日以内に保護するよう命じた。

サイバーセキュリティ機関の拘束力のある運用指令 23-02 は、許可されたユーザーにネットワーク管理業務の実行に必要なアクセスを許可する、インターネットに公開された管理インターフェイス (ルーター、ファイアウォール、プロキシ、ロード バランサーなど) を備えたネットワーク デバイスに適用されます。

「この指令は、連邦文民行政府（FCEB）機関に対し、特定のクラスのデバイスにわたる安全でない、または設定が間違っている管理インターフェースによって生じる攻撃対象領域を減らすための措置を講じることを義務付けている」とCISA は述べた。

「政府機関は、特定されたネットワーク管理インターフェイスをインターネットへの露出から削除するか、インターフェイス自体とは別のポリシー適用ポイントを実装するゼロトラスト機能で保護する準備をしておく必要がある」と同政府機関は付け加えた。

BOD 23-02 に概要が記載されているように、連邦政府機関は、CISA から通知を受け取るか、指令の範囲に該当するネットワーク管理インターフェイスを独自に発見してから 14 日以内に、次のいずれかの措置を講じる必要があります。

1. CISA では、分離された管理ネットワークの使用を推奨しており、ネットワーク機器のインターフェイスへのアクセスを内部ネットワークに制限します。
2. ゼロトラスト対策を実装して、インターフェース自体とは別のポリシー施行ポイントを介してインターフェースへのアクセス制御を施行します (推奨される行動方針)。

CISAは、指令の範囲内にあるデバイスとインターフェースを特定するためにスキャンを実施し、その結果を政府機関に通知すると述べている。

修復プロセスを促進するために、CISA は、特定のデバイスのステータスを確認し、デバイスのセキュリティを確保するためのガイダンスを提供するために必要または要求された場合に、連邦政府機関に技術的専門知識を提供します。

FCEB 機関は、修復作業に必要な期間を超過した場合に、専用の報告インターフェイスと修復計画の標準化されたテンプレートにもアクセスできます。

CISA は 6 か月以内に、その後は毎年、FCEB BOD 23-02 遵守状況に関する報告書を作成し、管理予算局 (OMB) 長官と国土安全保障省長官 (DHS) の両方に提出します。

さらに、CISA は 2 年以内にサイバーセキュリティ情勢の変化に対応するためにこの指令を更新し、政府機関が採用しているネットワーク管理インターフェースを効果的に特定、監視、報告できるように提供する実施ガイダンスを改訂する予定です。

CISAは3月、新しいランサムウェア脆弱性警告パイロット（RVWP）プログラムの一環として、重要インフラ組織に対し、ネットワーク上のランサムウェアの脆弱性のあるデバイスを警告し、ランサムウェア攻撃のブロックを支援すると発表した。