CISAは今年最初の拘束力のある運用指令(BOD 25-01)を発行し、連邦政府民間機関にクラウド環境の安全確保を命じた。
CISAは、Microsoft 365に必要なセキュア・コンフィギュレーション・ベースライン(SCB)のみを確定しているが、Google Workspace(2025年度第2四半期に適用範囲に入る予定)を皮切りに、他のクラウドプラットフォームについても追加ベースラインを発表する予定だ。
この政府全体の指令は、連邦民間行政機関(FCEB)のシステムと資産を保護するために、クラウド・サービスの安全な運用を義務付けることで、連邦ネットワークの攻撃面を減らすことを目的としている。
BOD 25-01は、FCEB機関に対し、CISAが開発した自動構成評価ツール(Microsoft 365監査用のScubaGear)を導入し、サイバーセキュリティ機関の継続的監視インフラと統合し、安全な構成ベースラインからの逸脱を事前に定義された期間内に修正することを求めている。
「最近のサイバーセキュリティ事件は、設定の誤りや脆弱なセキュリティ管理によってもたらされる重大なリスクを浮き彫りにしており、攻撃者はこれを利用して不正アクセスやデータの流出、サービスの中断を行うことができる」と、CISAは本日述べている。
「この指令は、連邦政府民間機関に対し、特定のクラウド・テナントを特定し、評価ツールを導入し、クラウド環境をCISAのセキュア・クラウド・ビジネス・アプリケーション(SCuBA)のセキュア・コンフィギュレーション・ベースラインに合わせることを求めている。
対象となるすべてのクラウド・テナントについて、FCEB機関は以下の措置を講じなければならない:
- 2025年2月21日(金)までに、本指令の適用範囲内にあるすべてのクラウド・テナントを特定する。
- 2025年4月25日(金)までに、対象範囲内のクラウド・テナントのすべてのSCuBA評価ツールを導入し、本指令の要件に関する継続的な報告を開始する。
- 遅くとも2025 年 6 月 20 日(金)までに、本指令の発行時点で有効なすべての必須 SCuBA ポリシーを実施する。
- 必須 SCuBA 方針に対する今後のすべての更新を実施する。
- 必須のSCuBAセキュア構成ベースラインをすべて実施し、新規クラウドテナントについて、運用許可(ATO)を付与する前に継続的な監視を開始する。
現在の必須ポリシーのリストは、Required Configurations ウェブサイトで入手できます。現時点では、Azure Active Directory / Entra ID、Microsoft Defender、Exchange Online、Power Platform、SharePoint Online & OneDrive、Microsoft Teamsを含むMicrosoft 365製品のセキュアな構成ベースラインのみが含まれている。
BOD 25-01は連邦政府民間機関にのみ適用されるが、CISAはすべての組織がこの指令を採用し、クラウド環境のセキュリティを優先して、攻撃対象領域と侵害リスクを大幅に低減することを強く推奨している。
CISAは昨年、連邦政府機関に対し、インターネットに露出したネットワーク機器や設定ミスのあるネットワーク機器を発見後14日以内に保護するよう命じる拘束力のある運用指令(BOD 23-02)を発表した。
その2年前、サイバーセキュリティ機関のBOD 22-01は、FCEB機関に対し、既知の悪用された脆弱性の背後にある増大するリスクを、積極的な期限内に緩和することで軽減するよう義務付けていた。
Comments