米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表：リモートアクセスとVPNの制限を推奨

CISAは、安全なネットワークアクセスのために企業が実施すべき最新セキュリティソリューションとベストプラクティスのガイダンスを発表した。

[＠IT]

　米国国土安全保障省サイバーセキュリティインフラセキュリティ庁（CISA）は2024年6月18日（米国時間）、ネットワークセキュリティにおけるガイダンスを公開した。CISAは以下のように説明している。

　ガイダンスは、CISAの他、連邦捜査局、ニュージーランドおよびカナダのセキュリティ責任者が共同執筆した。あらゆる規模の企業の経営者に対し、ネットワークアクティビティーの可視性を高めるゼロトラスト、SSE（Security Service Edge）、SASE（Secure Access Service Edge）などのより堅牢（けんろう）なセキュリティソリューションへの移行を推奨している。加えて、このガイダンスは、従来のリモートアクセスとVPNの導入に関連する脆弱（ぜいじゃく）性、脅威、慣行およびリモートアクセスの誤った構成によって組織のネットワークにもたらされる固有のビジネスリスクを組織がより深く理解するのに役立つ。

ネットワークセキュリティの強化に向けたベストプラクティス

　SASE、SSE、ハードウェアベースのネットワークセグメンテーションは、従来のVPNおよびセキュリティ機能に代わって、組織が新しくセキュリティを実装する際に、ゼロトラストアプローチに向けたポリシーを促進する。さまざまなソリューションを実装する前に、これらのアプローチが組織に適合するかどうかを判断するために、組織のセキュリティ状況を慎重に評価し、リスク分析を実行する必要がある。

　ガイダンスでは、ゼロトラスト、SASE、SSEおよびハードウェアによる強制的なソリューションの実装に加えて、掲載しているベストプラクティスの適用を強く推奨している。これらのベストプラクティスは、CISAとNISTが策定した分野横断的なサイバーセキュリティパフォーマンス目標（CPG）に沿ったものだ。

　ガイダンスで推奨されているネットワークセキュリティに関するベストプラクティスは以下の通り。

集中管理ソリューションを実装する

　集中管理により、システム管理者はアプリケーションやサーバへのリモートアクセスを制御し、特権アクセスを管理し、ネットワーク制御を簡素化できる。一元的なポイントを通じて展開、監視および管理ができない場合、技術サポート、VPN接続のトラブルシューティングおよびVPNクライアントのサポートに関連するコストが増加する。

　VPNの環境を監視および管理する能力は、どのVPNも絶対的なセキュリティを保証できないという根本的な問題があるため、現代のネットワーク防御にとって重要だ。さらに、ユーザーの誤操作や第三者ベンダーによるデータ漏えいが発生した場合、前述のデータへの集中アクセスがなければ、組織は問題の発生源をすぐに証明できない。

ネットワークセグメンテーションを実施する

　OTネットワークへの全ての接続は、特定のシステム機能のために明示的に許可されない限り、デフォルトで拒否する。境界は、最も重要なシステム、通信およびリモートアクセスシステムに対して一方向でなければならない。

SOAR（Security Orchestration, Automation and Response）を実装する

　一定のセキュリティイベントに自動応答できるようにする。

共通／組織特有のシナリオおよび手順

　ITとOTのサイバーセキュリティインシデント対応計画を策定、維持、更新し、定期的に訓練する。対応計画は、演習や訓練で得られた教訓に基づき、リスクに応じた期間内に更新する。

公開されている全ての企業資産に対して脆弱性スキャンを自動化および検証する

　一般的に見られる悪用や搾取を防ぐため、補完的な制御を実装する。公開されている資産では、不要なOSアプリケーションおよびネットワークプロトコルを全て無効にする。

実績のある高性能のサイバーセキュリティソリューションを使用して、ログイン試行の失敗を自動検出する

インシデント検出システムを統合して、インシデントの優先順位付けを支援する

　侵害デバイスへのアクセスを即座にブロックし、システムへの接続を切断する仕組みを導入する。

security.txtを展開する

　セキュリティ研究者が発見した弱点や脆弱性をタイムリーに提出できるようにする。組織は、security.txtに準拠した、適切に定義され、組織的にサポートされた脆弱性開示方針を持つことを推奨する。

定期的なバックアップを日常業務にする

　必要な全てのシステムに対して実施する。バックアップはソースシステムとは別に保存し、年1回以上の頻度でテストする。

基本的なセキュリティ概念（フィッシング、メール詐欺、基本的な運用セキュリティ、パスワードセキュリティなど）に関する年次トレーニングを実施する

　全ての従業員に義務付けて、内部のセキュリティおよびサイバー意識の文化を醸成する。

フィッシングに強い多要素認証（MFA）で本人確認する

　強力なIDおよびアクセス管理ソリューションを導入する。

ハードウェアベースの一方向技術を使用する

　最も重要なシステムについては、ハードウェアで一方向通信を用い、フォレンジック、監査、その他のセキュリティデータを、機密ネットワークからITベースまたはクラウドベースのSOARやアクセス監視システムに送信する。これにより、クラウドやインターネットから保護されたネットワークに向けたサイバー攻撃の影響を軽減する。

最小特権の原則に基づいてアクセスを許可する

　ユーザーはジャストインタイムで必要なリソースにアクセスできるようにする。ユーザーとデバイスは、各アクセス要求に厳密に識別、検証される必要がある。

導入ロードマップと展開戦略を確立する

　SASEの目的に基づいて、SASEが組織にどのような利益をもたらすかをブレインストーミングする。

柔軟かつ各機能について強力な計画性を備えたSASEのロードマップを作成する

　この戦略は、SASEを踏まえ、ITとビジネス指向の目標を組み合わせて構成されたものとする。

SASEソリューションを本格運用する前に、コラボレーション、戦略、テクノロジー、アプリケーションをテスト環境で試す

組織を保護するために、Mail Transfer Agent Strict Transport Security （MTA-STS） などの技術的セキュリティ対策を実装する

　ドメインに送信されるメールトラフィックを厳格に暗号化できる。ネットワーク管理者がTLS（Transport Layer Security）証明書をドメイン名にバインドできるDNSベースの名前付きエンティティ認証（DANE）を使用する。

組織内でのユーザーの役割に応じて特定のリモートユーザーアクセスのみを許可する

　システム全体が悪用されるのを防ぎ、機密情報を保護できる。

FWaaS（Firewall as a Service）を使用する

　組織のデジタル資産をWebベースの脅威から保護する。

ネットワークセキュリティを向上させるために、ZTNA（Zero Trust Network Access）を使用する

　トラストブローカーを介してユーザーアクセスとアプリケーションを制限する。

VPNソリューションからSSE/SASEに移行する際、以下を実施する

• コントロールプレーンへのアクセスを防ぐ
• 専用の管理インタフェースを使用する
• VPNソリューションに関連するネットワークテレメトリーをパッチし、生成し、分析する
• ユーザーの事前認証を検討する
• MFAを使用する
• 実行中のコンフィギュレーションをバージョン管理する（デバイスコンフィギュレーションの変更を積極的に探す）