一いち週間しゅうかんを始はじめるにあたって、押おさえておきたい先週せんしゅう(2024/06/17 - 2024/06/23)気きになったセキュリティニュースのまとめです。セキュリティニュースは毎日まいにち多数たすうの情報じょうほうが溢あふれかえっており「重要じゅうようなニュース」を探さがすことが大変たいへんです。海外かいがいの報道ほうどうを中心ちゅうしんにCISO視点してんで重要じゅうようなインシデント、法案ほうあんや規制きせいに関かんして「これを知しっておけば、最低限さいていげん、恥はじはかかない」をコンセプトに、コンパクトにまとめることを心こころがけています。

■FBI/CISA、VPNからSSE/SASEへの移行いこうを推奨すいしょう

米国べいこくCISAやFBI等とうが共同きょうどうで、VPNをSSEやSASEに置おき換かえることを推奨すいしょうするガイダンスを公表こうひょうしました。背景はいけいにはCISAが公表こうひょうしている「既知きちの悪用あくようされた脆弱ぜいじゃく性せい(KEV)」にVPNに起因きいんするものが22件けんにのぼり、国家こっかの関与かんよが疑うたがわれる高度こうどな技術ぎじゅつ力りょくを持もったサイバー攻撃こうげきグループがVPNを標的ひょうてきに選定せんていする傾向けいこうがあること、更さらにはVPNが一度いちど侵害しんがいされてしまうと広範こうはんなネットワーク侵害しんがいに繋つながる、等ひとしがあります。

また、脅威きょういへの対応たいおうといった観点かんてんだけでなく、現在げんざいのオンプレミスとクラウドの両方りょうほうへのアクセスを必要ひつようとするハイブリットネットワークを管理かんりするためにはSSEやSASEといった最新さいしんのネットワークアクセスソリューションが必要ひつようであると述のべています。

これまでにも、ランサムウェアの侵入しんにゅう経路けいろとしてVPNが危あぶないとはされていたものの、CISAやFBIが「そろそろVPNはリプレイスした方ほうが良よい」といったガイダンスを公開こうかいしたのは今回こんかいが初はつとなります。

・CISOにとって何故なぜ重要じゅうようか?

これまでもVPN経由けいゆでのランサムウェア被害ひがいは多おおく存在そんざいしておりましたが、VPNの脆弱ぜいじゃく性せいを悪用あくようされたとしてもCISOが説明せつめい責任せきにんを問とわれることは少すくなかったでしょう。

しかし、CISAやFBIといった公的こうてきな機関きかんから「VPNをより安全あんぜんなSASE/SSEに置換ちかんすべき」というガイダンスが出でたとなると、セキュリティインシデント発生はっせい時じに株主かぶぬしや報道ほうどう機関きかんに対たいして状況じょうきょうを説明せつめいする時ときに「なぜ、まだVPNを利用りようしていたのか?」と説明せつめい責任せきにんを問とわれる可能かのう性せいが考かんがえられます。

日本にっぽん国内こくないにおいても警察庁けいさつちょうが毎年まいとし公表こうひょうしている「サイバー空間くうかんをめぐる脅威きょういの情勢じょうせい等とう」において令れい和わ三さん年ねんからランサムウェアの侵入しんにゅう経路けいろとしてVPN装置そうち経由けいゆが過半数かはんすうを超こえており、VPNのリスクが指摘してきされていましたが、未いまだにVPNからの不正ふせいアクセスが後こうを絶たちません。日本にっぽんだけにビジネスを展開てんかいしている企業きぎょうであれば、外部がいぶからの指摘してきを受うけることは少すくないかもしれませんが、グローバルにビジネスを展開てんかいしている企業きぎょうのCISO等とうは米国べいこくではこのようなガイダンスが公表こうひょうされている事実じじつを認識にんしきし対応たいおうを進すすめることを推奨すいしょうします。

■CISA、SMB向むけSSO導入どうにゅうガイダンスを公開こうかい

米国べいこくCISAは、「中小ちゅうしょう企業きぎょうにおけるシングルサインオン (SSO) 導入どうにゅうの障壁しょうへき: 課題かだいと機会きかいの特定とくていガイダンス」と題だいしたガイダンスを公開こうかいしました。

また、本ほんガイダンスに関連かんれんするブログにおいて、中小ちゅうしょう企業きぎょうがシングルサインオン（SSO）を導入どうにゅうしない理由りゆうを掲載けいさいしています。

CISAの分析ぶんせきによれば、中小ちゅうしょう企業きぎょうがSSOを導入どうにゅうしない理由りゆうにはコストだけではない、以下いか三さん点てんの課題かだいがあり、ベンダー側がわも課題かだい解決かいけつに向むけた改善かいぜん点てんがあると指摘してきしています。

1.SSO導入どうにゅうに伴ともなうコスト

中小ちゅうしょう企業きぎょうでは、セキュリティよりもより経済けいざい的てきな側面そくめんを重視じゅうしする傾向けいこうにあるためSSOではなく、手動しゅどうでのID/パスワード管理かんりを選択せんたくしがちです。しかしSSOの導入どうにゅうコストだけに着目ちゃくもくしていては、手動しゅどう管理かんりに伴ともなう管理かんりオーバーヘッドや重大じゅうだいなセキュリティインシデントが発生はっせいした場合ばあいの「隠かくれたコスト」が含ふくまていません。

2.SSO運用うんように伴ともなう技術ぎじゅつスキル

SSOベンダーは、顧客こきゃくがSSOを効果こうか的てきに導入どうにゅうできるようサポートする十分じゅうぶんなトレーニング資料しりょうとハウツーガイドを提供ていきょうしていると自信じしんを持もっています。一方いっぽうで、顧客こきゃく側がわの認識にんしきは異ことなりSSOを複雑ふくざつなソリューションと見みなしています。顧客こきゃくがSSOの導入どうにゅうを検討けんとうする前まえに、これらの実装じっそう上じょうの懸念けねん点てんを払拭ふっしょくする必要ひつようがあります。

3.SSOのサポート資料しりょうや手順てじゅんの正確せいかく性せいと完全かんぜん性せいに対たいする満足まんぞく度ど

経験けいけん豊富ほうふで技術ぎじゅつに精通せいつうしているユーザーでさえ、手順てじゅん書しょの不正確ふせいかくな点てんや説明せつめい漏もれを解決かいけつするために、多数たすうのサポートチケットを送信そうしんし、ベンダーのカスタマーサポートスタッフと何なん度どもやり取とりする必要ひつようがあると述のべています。リソースが限かぎられている中小ちゅうしょう企業きぎょうにとって、その時間じかんの機会きかい費用ひようとサポート資料しりょうの煩わずらわしさにより、適切てきせつなSSO実装じっそうには法外ほうがいなコストがかかるように思おもわれ、ユーザーエクスペリエンスが低下ていかします。

・CISOにとって何故なぜ重要じゅうようか?

サプライチェーンリスクを検討けんとうする上じょうで取引とりひき先さきや自社じしゃのグループ企業きぎょうがSSO等とうを導入どうにゅうしID管理かんりを効率こうりつ的てきで安全あんぜんな状態じょうたいを維持いじ出来できているかは重要じゅうような視点してんです。

特とくにグループ企業きぎょうに対たいしてSSO導入どうにゅうを指示しじする場合ばあいにはコスト面めんだけではなく、技術ぎじゅつ支援しえんも考慮こうりょすることで、導入どうにゅう後ごの適切てきせつな運用うんように繋つなげることが可能かのうになります。

逆ぎゃくに言いえば、このような課題かだいがある点てんを認識にんしきすることなく、一方いっぽう的てきにSSO導入どうにゅうのみを指示しじしたとしても、運用うんようが簡単かんたんな手動しゅどう管理かんりに逆戻ぎゃくもどりするリスクを想定そうていする必要ひつようがあるでしょう。

■米べい連邦れんぽう政府せいふ、露ろKaspersky製品せいひんを全面ぜんめん禁止きんし

米べい商務省しょうむしょう産業さんぎょう安全あんぜん保障ほしょう局きょく（BIS）は6月がつ20日はつか（現地げんち時間じかん）、ロシアを拠点きょてんとするウイルス対策たいさくソフトおよびサイバーセキュリティ企業きぎょうの米国べいこく支社ししゃであるKaspersky Labが、米国べいこく内ないおよび米国べいこく民みんに対たいして製品せいひんを提供ていきょうすることを禁止きんしする最終さいしゅう決定けっていを発表はっぴょうしました。

これによりKasperskyは米国べいこく内ないでの製品せいひん販売はんばいや、既すでに使つかわれている製品せいひんのアップデートの提供ていきょうなどができなくなります。

米国べいこくの消費しょうひ者しゃと企業きぎょうへの混乱こんらんを最小限さいしょうげんに抑おさえ、適切てきせつな代替だいたい策さくを見みつける時間じかんを与あたえるための移行いこう措置そちとして、Kasperskyは9月29日にち午前ごぜん12時じまではアップデートを含ふくむ業務ぎょうむを継続けいぞく可能かのうです。

今回こんかいの禁止きんし令れいに至いたった背景はいけいとして、Kasperskyが機密きみつ情報じょうほうへアクセスする能力のうりょくや、米国べいこくのビジネス情報じょうほうを収集しゅうしゅうする能力のうりょくが、過度かど、または容認ようにんできない国会こっかい安全あんぜん保障ほしょう上じょうのリスクをもたらすといった点てんが挙あげられています。

更さらに、財務省ざいむしょう外国がいこく資産しさん管理かんり局きょく（OFAC）は、ロシアのテクノロジー分野ぶんやで活動かつどうしたとしてカスペルスキー研究所けんきゅうじょの幹部かんぶ12名めいに対たいして財産ざいさんおよび財産ざいさん権益けんえきの凍結とうけつを行おこなう制裁せいさいを科かしました。

Kasperskyは、31か国こくにオフィスを構かまえ、日本にっぽんを含ふくむ200を超こえる国くにと地域ちいきのユーザーにサービスを提供ていきょうする多た国籍こくせき企業きぎょうです。Kasperskyは、世界中せかいじゅうの4億おく人にんを超こえるユーザーと 27万まん社しゃの企業きぎょう顧客こきゃくに、サイバーセキュリティおよびウイルス対策たいさく製品せいひんとサービスを提供ていきょうしています。

★国内こくない、海外かいがいにおける重要じゅうような注意ちゅうい喚起かんき★

該当がいとう期間きかん中ちゅうに発表はっぴょうされた、CISAのKEVとJPCERT/CCを掲載けいさいします。自社じしゃで該当がいとうする製品せいひんを利用りようされている場合ばあいは優先ゆうせん度どを上あげて対応たいおうすることを推奨すいしょうします。

・CISA 悪用あくようされた既知きちの脆弱ぜいじゃく性せいカタログ登録とうろく状じょう況きょう

　-　該当がいとう期間きかん中ちゅうの掲載けいさいはありませんでした。

・JPCERTコーディネーションセンター（JPCERT/CC）注意ちゅうい喚起かんき

　-　該当がいとう期間きかん中ちゅうの掲載けいさいはありませんでした。