CISAは、安全なネットワークアクセスのために企業が実施すべき最新セキュリティソリューションとベストプラクティスのガイダンスを発表した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
米国国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2024年6月18日(米国時間)、ネットワークセキュリティにおけるガイダンスを公開した。CISAは以下のように説明している。
ガイダンスは、CISAの他、連邦捜査局、ニュージーランドおよびカナダのセキュリティ責任者が共同執筆した。あらゆる規模の企業の経営者に対し、ネットワークアクティビティーの可視性を高めるゼロトラスト、SSE(Security Service Edge)、SASE(Secure Access Service Edge)などのより堅牢(けんろう)なセキュリティソリューションへの移行を推奨している。加えて、このガイダンスは、従来のリモートアクセスとVPNの導入に関連する脆弱(ぜいじゃく)性、脅威、慣行およびリモートアクセスの誤った構成によって組織のネットワークにもたらされる固有のビジネスリスクを組織がより深く理解するのに役立つ。
SASE、SSE、ハードウェアベースのネットワークセグメンテーションは、従来のVPNおよびセキュリティ機能に代わって、組織が新しくセキュリティを実装する際に、ゼロトラストアプローチに向けたポリシーを促進する。さまざまなソリューションを実装する前に、これらのアプローチが組織に適合するかどうかを判断するために、組織のセキュリティ状況を慎重に評価し、リスク分析を実行する必要がある。
ガイダンスでは、ゼロトラスト、SASE、SSEおよびハードウェアによる強制的なソリューションの実装に加えて、掲載しているベストプラクティスの適用を強く推奨している。これらのベストプラクティスは、CISAとNISTが策定した分野横断的なサイバーセキュリティパフォーマンス目標(CPG)に沿ったものだ。
ガイダンスで推奨されているネットワークセキュリティに関するベストプラクティスは以下の通り。
集中管理により、システム管理者はアプリケーションやサーバへのリモートアクセスを制御し、特権アクセスを管理し、ネットワーク制御を簡素化できる。一元的なポイントを通じて展開、監視および管理ができない場合、技術サポート、VPN接続のトラブルシューティングおよびVPNクライアントのサポートに関連するコストが増加する。
VPNの環境を監視および管理する能力は、どのVPNも絶対的なセキュリティを保証できないという根本的な問題があるため、現代のネットワーク防御にとって重要だ。さらに、ユーザーの誤操作や第三者ベンダーによるデータ漏えいが発生した場合、前述のデータへの集中アクセスがなければ、組織は問題の発生源をすぐに証明できない。
OTネットワークへの全ての接続は、特定のシステム機能のために明示的に許可されない限り、デフォルトで拒否する。境界は、最も重要なシステム、通信およびリモートアクセスシステムに対して一方向でなければならない。
一定のセキュリティイベントに自動応答できるようにする。
ITとOTのサイバーセキュリティインシデント対応計画を策定、維持、更新し、定期的に訓練する。対応計画は、演習や訓練で得られた教訓に基づき、リスクに応じた期間内に更新する。
一般的に見られる悪用や搾取を防ぐため、補完的な制御を実装する。公開されている資産では、不要なOSアプリケーションおよびネットワークプロトコルを全て無効にする。
侵害デバイスへのアクセスを即座にブロックし、システムへの接続を切断する仕組みを導入する。
セキュリティ研究者が発見した弱点や脆弱性をタイムリーに提出できるようにする。組織は、security.txtに準拠した、適切に定義され、組織的にサポートされた脆弱性開示方針を持つことを推奨する。
必要な全てのシステムに対して実施する。バックアップはソースシステムとは別に保存し、年1回以上の頻度でテストする。
全ての従業員に義務付けて、内部のセキュリティおよびサイバー意識の文化を醸成する。
強力なIDおよびアクセス管理ソリューションを導入する。
最も重要なシステムについては、ハードウェアで一方向通信を用い、フォレンジック、監査、その他のセキュリティデータを、機密ネットワークからITベースまたはクラウドベースのSOARやアクセス監視システムに送信する。これにより、クラウドやインターネットから保護されたネットワークに向けたサイバー攻撃の影響を軽減する。
ユーザーはジャストインタイムで必要なリソースにアクセスできるようにする。ユーザーとデバイスは、各アクセス要求に厳密に識別、検証される必要がある。
SASEの目的に基づいて、SASEが組織にどのような利益をもたらすかをブレインストーミングする。
この戦略は、SASEを踏まえ、ITとビジネス指向の目標を組み合わせて構成されたものとする。
ドメインに送信されるメールトラフィックを厳格に暗号化できる。ネットワーク管理者がTLS(Transport Layer Security)証明書をドメイン名にバインドできるDNSベースの名前付きエンティティ認証(DANE)を使用する。
システム全体が悪用されるのを防ぎ、機密情報を保護できる。
組織のデジタル資産をWebベースの脅威から保護する。
トラストブローカーを介してユーザーアクセスとアプリケーションを制限する。
Copyright © ITmedia, Inc. All Rights Reserved.