一週間を始めるにあたって、押さえておきたい先週(2024/06/17 - 2024/06/23)気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■FBI/CISA、VPNからSSE/SASEへの移行を推奨

米国CISAやFBI等が共同で、VPNをSSEやSASEに置き換えることを推奨するガイダンスを公表しました。背景にはCISAが公表している「既知の悪用された脆弱性(KEV)」にVPNに起因するものが22件にのぼり、国家の関与が疑われる高度な技術力を持ったサイバー攻撃グループがVPNを標的に選定する傾向があること、更にはVPNが一度侵害されてしまうと広範なネットワーク侵害に繋がる、等があります。

また、脅威への対応といった観点だけでなく、現在のオンプレミスとクラウドの両方へのアクセスを必要とするハイブリットネットワークを管理するためにはSSEやSASEといった最新のネットワークアクセスソリューションが必要であると述べています。

これまでにも、ランサムウェアの侵入経路としてVPNが危ないとはされていたものの、CISAやFBIが「そろそろVPNはリプレイスした方が良い」といったガイダンスを公開したのは今回が初となります。

・CISOにとって何故重要か?

これまでもVPN経由でのランサムウェア被害は多く存在しておりましたが、VPNの脆弱性を悪用されたとしてもCISOが説明責任を問われることは少なかったでしょう。

しかし、CISAやFBIといった公的な機関から「VPNをより安全なSASE/SSEに置換すべき」というガイダンスが出たとなると、セキュリティインシデント発生時に株主や報道機関に対して状況を説明する時に「なぜ、まだVPNを利用していたのか?」と説明責任を問われる可能性が考えられます。

日本国内においても警察庁が毎年公表している「サイバー空間をめぐる脅威の情勢等」において令和三年からランサムウェアの侵入経路としてVPN装置経由が過半数を超えており、VPNのリスクが指摘されていましたが、未だにVPNからの不正アクセスが後を絶ちません。日本だけにビジネスを展開している企業であれば、外部からの指摘を受けることは少ないかもしれませんが、グローバルにビジネスを展開している企業のCISO等は米国ではこのようなガイダンスが公表されている事実を認識し対応を進めることを推奨します。

■CISA、SMB向けSSO導入ガイダンスを公開

米国CISAは、「中小企業におけるシングルサインオン (SSO) 導入の障壁: 課題と機会の特定ガイダンス」と題したガイダンスを公開しました。

また、本ガイダンスに関連するブログにおいて、中小企業がシングルサインオン（SSO）を導入しない理由を掲載しています。

CISAの分析によれば、中小企業がSSOを導入しない理由にはコストだけではない、以下三点の課題があり、ベンダー側も課題解決に向けた改善点があると指摘しています。

1.SSO導入に伴うコスト

中小企業では、セキュリティよりもより経済的な側面を重視する傾向にあるためSSOではなく、手動でのID/パスワード管理を選択しがちです。しかしSSOの導入コストだけに着目していては、手動管理に伴う管理オーバーヘッドや重大なセキュリティインシデントが発生した場合の「隠れたコスト」が含まていません。

2.SSO運用に伴う技術スキル

SSOベンダーは、顧客がSSOを効果的に導入できるようサポートする十分なトレーニング資料とハウツーガイドを提供していると自信を持っています。一方で、顧客側の認識は異なりSSOを複雑なソリューションと見なしています。顧客がSSOの導入を検討する前に、これらの実装上の懸念点を払拭する必要があります。

3.SSOのサポート資料や手順の正確性と完全性に対する満足度

経験豊富で技術に精通しているユーザーでさえ、手順書の不正確な点や説明漏れを解決するために、多数のサポートチケットを送信し、ベンダーのカスタマーサポートスタッフと何度もやり取りする必要があると述べています。リソースが限られている中小企業にとって、その時間の機会費用とサポート資料の煩わしさにより、適切なSSO実装には法外なコストがかかるように思われ、ユーザーエクスペリエンスが低下します。

・CISOにとって何故重要か?

サプライチェーンリスクを検討する上で取引先や自社のグループ企業がSSO等を導入しID管理を効率的で安全な状態を維持出来ているかは重要な視点です。

特にグループ企業に対してSSO導入を指示する場合にはコスト面だけではなく、技術支援も考慮することで、導入後の適切な運用に繋げることが可能になります。

逆に言えば、このような課題がある点を認識することなく、一方的にSSO導入のみを指示したとしても、運用が簡単な手動管理に逆戻りするリスクを想定する必要があるでしょう。

■米連邦政府、露Kaspersky製品を全面禁止

米商務省産業安全保障局（BIS）は6月20日（現地時間）、ロシアを拠点とするウイルス対策ソフトおよびサイバーセキュリティ企業の米国支社であるKaspersky Labが、米国内および米国民に対して製品を提供することを禁止する最終決定を発表しました。

これによりKasperskyは米国内での製品販売や、既に使われている製品のアップデートの提供などができなくなります。

米国の消費者と企業への混乱を最小限に抑え、適切な代替策を見つける時間を与えるための移行措置として、Kasperskyは9月29日午前12時まではアップデートを含む業務を継続可能です。

今回の禁止令に至った背景として、Kasperskyが機密情報へアクセスする能力や、米国のビジネス情報を収集する能力が、過度、または容認できない国会安全保障上のリスクをもたらすといった点が挙げられています。

更に、財務省外国資産管理局（OFAC）は、ロシアのテクノロジー分野で活動したとしてカスペルスキー研究所の幹部12名に対して財産および財産権益の凍結を行う制裁を科しました。

Kasperskyは、31か国にオフィスを構え、日本を含む200を超える国と地域のユーザーにサービスを提供する多国籍企業です。Kasperskyは、世界中の4億人を超えるユーザーと 27万社の企業顧客に、サイバーセキュリティおよびウイルス対策製品とサービスを提供しています。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

　-　該当期間中の掲載はありませんでした。

・JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

　-　該当期間中の掲載はありませんでした。