サイバー攻撃につながる構成ミス TOP10、米NSAとCISAが発表：ネットワーク防御者とソフトウェアメーカー向けにリスク軽減策を紹介

米国の国家安全保障局と国土安全保障省サイバーセキュリティインフラセキュリティ庁が発表した共同サイバーセキュリティアドバイザリーは、大規模組織で最も一般的な10のサイバーセキュリティ上の構成ミスに焦点を当て、それらのリスクとその軽減策を解説している。

[＠IT]

　米国の国家安全保障局（NSA）と国土安全保障省サイバーセキュリティインフラセキュリティ庁（CISA）は2023年10月5日（米国時間）、共同サイバーセキュリティアドバイザリー（CSA）を発表した。

　この共同CSA「NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations」では、大規模組織で最も一般的な10のサイバーセキュリティ上の構成ミスに焦点を当て、攻撃者がこれらを悪用するために用いる戦術、技術、手順（TTP）を解説するとともに、こうした悪用リスクを軽減するための推奨事項を紹介している。

　NSAとCISAは、国防総省、連邦政府、州、地方政府、民間部門にわたる多数のネットワークのセキュリティ体制を評価してきた。共同CSAで挙げられた10のネットワーク構成ミスは、これらの評価の過程で特定された。

　この評価対象の多くはWindowsおよびActive Directory環境であり、共同CSAにおける解説の大部分は、これらの製品に焦点を当てている。だが、NSAとCISAは「他の多くの環境にも同様の構成ミスがある」として注意を促しており、「ネットワークの所有者と運用者は、共同CSAで特に言及されていないソフトウェアを使用している場合でも、ネットワークに同様の構成ミスがないかどうか検査すべきだ」と述べている。

サイバー攻撃につながる構成ミス TOP10

　NSAとCISAは共同CSAで、最も一般的な構成ミスとして以下を挙げている。

1. ソフトウェアとアプリケーションの既定設定
2. ユーザー／管理者権限の不適切な分離
3. 不十分な内部ネットワークモニタリング
4. ネットワークセグメンテーションの欠如
5. ずさんなパッチ管理
6. システムアクセス制御の迂回（うかい）
7. 貧弱な、または誤って構成された多要素認証（MFA）方法
8. ネットワーク共有やサービスに対する不十分なアクセス制御リスト（ACL）
9. ずさんな認証情報ハイジーン（衛生管理）
10. 無制限のコード実行

　NSAとCISAによると、これらの構成ミスは、多くの大規模組織（成熟したサイバーセキュリティ体制を持つ組織を含む）における構造的な弱点があることや、ネットワーク防御者の負担を軽減するために、ソフトウェアメーカーがセキュアバイデザイン（設計段階からのセキュリティ対策）の原則を採用することの重要性も示している。

構成ミスを減らすために、企業が取り組むべきことは？

　NSAとCISAはネットワーク防御者に対し、攻撃者がこれらの構成ミスを悪用するリスクを低減するために、共同CSAの「Mitigations」（緩和策）セクションに含まれる以下のような推奨事項を実施することを勧めている。

• 既定の認証情報を削除し、構成を強化する
• 使われていないサービスを無効にし、アクセス制御を実装する
• 定期的な更新とパッチの自動適用を行い、悪用された既知の脆弱（ぜいじゃく）性に対するパッチを優先的に適用する
• 管理者アカウントと管理者権限を削減、制限、監査、モニタリングする

　NSAとCISAはソフトウェアメーカーに対し、以下のようなセキュアバイデザインとセキュアバイデフォルト（既定でのセキュリティ保護）の戦術を採用することで、顧客のセキュリティ成果の向上を支援するよう呼び掛けている。

• 開発当初からソフトウェア開発ライフサイクル（SDLC）全体を通じて、製品アーキテクチャにセキュリティ対策を組み込む
• 既定のパスワードを廃止する
• 高品質の監査ログを追加料金なしで顧客に提供する
• 特権ユーザーに対してMFA（フィッシング耐性のあるものが理想）を義務付け、MFAをオプトイン機能ではなく、既定とする

　なお、NSAとCISAは、「MITRE ATT&CK for Enterprise」フレームワークのVersion 13と、サイバーセキュリティ対策フレームワーク「MITRE D3FEND」を利用して、共同CSAをまとめたとしている。