CISAが米連邦政府機関を対象に発行、脆弱性検知の改善などを義務付ける「拘束力のある運用指令」の中身【海外セキュリティ】

INTERNET Watch

米連邦ネットワーク上の資産可視化と脆弱性検知の改善を義務付け、民間企業にも推奨

 米サイバーセキュリティ・インフラセキュリティ庁(CISA:Cybersecurity & Infrastructure Security Agency)は、米連邦政府機関に対して自組織のネットワーク上の資産の可視化と脆弱性検知の改善を義務付ける「Binding Operational Directive 23-01 – Improving Asset Visibility and Vulnerability Detection on Federal Networks」を発行しました。今回の義務付けは、あくまで連邦政府機関(厳密にはFCEB:Federal Civilian Executive Branch)を対象としたものですが、CISAは民間企業や州政府などにも同様の改善を推奨しており、その参考資料として使われることも、ある程度は想定していると考えられます。

 CISAのニュースリリースによれば、今回発行された「BOD(Binding Operational Directive、拘束力のある運用指令) 23-01」の背景には、2020年12月に公になった、SolarWinds事件があることが明言されています。また、同時に公開された実装ガイダンスに掲載されているFAQ(Frequently Asked Questions)の初期バージョンでは以下のように説明されていました。

Q:今回の指令では背景の節でソフトウェア部品表(SBOM:Software Bill Of Materials)について言及しているが、それ以降の節で言及していないのはなぜか?

A: SBOMについて序文で言及しているのは、政府のビジョンを伝え、かつ長期的に見て望ましい状態を説明するためである。この指令は非常に具体的な最初のステップに焦点を合わせており、今後6~12カ月以内に達成可能であり、かつSBOMをより広く採用するための前提条件となっている。包括的な資産管理がなければ、機関はSBOMを効果的に使用して資産の構成要素やライブラリによってもたらされるリスクを管理することができないだろう。

 この項目は本稿執筆時点でなぜか(何の説明もなく)削除されていますが、当初「BOD 23-01」はSBOMを適切に導入・運用するための前提という位置付けだったようです。しかし、資産の可視化や脆弱性検知自体は、そもそもSBOMに限定したものではなく、セキュリティ対策の基本中の基本(の1つ)です。もしかすると、SBOMを強調することで誤解を招く可能性があることを危惧して削除されたのかもしれません。

 今回は「BOD 23-01」が米連邦政府機関に義務付けている内容を紹介します。なお、対象となるシステムはオンプレミスだけでなく、クラウドも含まれます。

1. 2023年4月3日までに、全てのFCEB機関は本指令の対象となる全ての連邦情報システムにおいて以下の措置を講じることが求められる。

1 – a. 7日ごとに自動化された資産探索を実行する。このタスクを達成するために多くの方法と技術を使用することができるが、最低でもこの探索は機関が使用するIPv4空間全体をカバーしなければならない。

※この項目では最低限としてIPv4のみを挙げていますが、本指令の対象にはIPv6も含まれることが「背景(Background)」の「適用範囲(Scope)」で明記されています。

1 – b. 見つかった全ての資産に対して14日ごとに脆弱性の一覧化を開始する。これには見つかった全てのノマディックデバイスまたはローミングデバイス(ラップトップなど)が含まれる。

※ノマディックデバイス:機関ネットワークの外に常時存在するデバイス。

※ローミングデバイス:機関のオンプレミスネットワークから離れ、他のプライベートネットワークに接続し、公衆インターネットに直接アクセスするデバイス。

1 – b – i. CISAは機関全体の完全な脆弱性探索が14日間で完了しない場合があることを理解している。それでも、機関内の全てのシステムがこの期間内に定期的にスキャンされるように、一覧化プロセスを定期的に開始すべきである。

1 – b – ii. 可能な限り最大限に、そして利用可能な技術がサポートする場合、管理対象のエンドポイント(例えば、サーバー、ワークステーション、デスクトップ、ラップトップ)および管理対象のネットワークデバイス(例えば、ルーター、スイッチ、ファイアウォール)上で実行される全ての脆弱性一覧化は特権資格で行なわれなければならない(この指令の目的上、資格を有するネットワークベースのスキャンおよびクライアントベースまたはエージェントベースの脆弱性検知手法は、いずれもこの要件を満たすものと見なされる)。

1 – b – iii. 使用する全ての脆弱性検知シグネチャは、ベンダがリリースした最新のシグネチャの更新から24時間を超えない間隔で更新されなければならない。

1 – b – iv. 当該機能が利用可能な場合、機関はモバイルデバイス(例えば、iOSおよびAndroid)および機関のオンプレミスネットワークの外に存在するその他のデバイスに対して同じタイプの脆弱性一覧化を実行しなければならない。

1 – b – v. 通常とは異なる資産探索および脆弱性一覧化手法(例えば、特殊な装置を備えたシステムまたは特権資格を使えないシステムに対するもの)は全てCISAによって承認されなければならない。

1 – c. 脆弱性一覧化の結果(すなわち、検知された脆弱性)の「CDM Agency Dashboard」への自動取り込みを、探索の完了(または前回の完全探索が完了していない場合は新しい探索サイクルの開始)から72時間以内に開始する。

※CDM:Continuous Diagnostics and Mitigation(継続的診断および軽減)

1 – d. CISAからの要請を受けてから72時間以内に特定の資産または脆弱性のサブセットの有無を確認し、かつ利用可能な結果を要請から7日以内にCISAに提供するためのオンデマンドの資産探索および脆弱性一覧化を開始する運用能力を開発・維持する。

1 – d – i. CISAは機関がこの期間内に機関全体の完全な脆弱性探索を完了できない場合があることを理解している。それでも、何らかの利用可能な結果があれば差し迫った脅威に対応するための状況認識をCISAと機関が得られるため、この期間内に一覧化プロセスを開始することが必要なのである。

2. CISAが脆弱性一覧化の性能データに対する要件を公表してから6カ月以内に、全てのFCEB機関は脆弱性一覧化の性能データの収集と報告を、本指令にとって適切な形で、「CDM Dashboard」に対して開始することが求められる。このデータによってCISAは、スキャンの頻度(cadence)や厳密性、完全性の測定を含む、機関のスキャン性能の管理と監視を自動化することができる。

3. 2023年4月3日までに、機関とCISAは、CDMプログラムを通じて、CISAのアナリストがオブジェクトレベルの脆弱性一覧化データにアクセスできるようにアップデートした「CDM Dashboard」の構成を配備する予定である。これは「Executive Order on Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの改善に関する大統領令)」で承認されている。

 上記の内容で特徴的なのは「開始(initiate)」の表現が多い点です。これについて実装ガイダンスに掲載されているFAQでは以下のように説明されています。

Q:スキャンを「実行(execute)」または「完了(complete)」ではなく、「スキャンを開始(initiate scans)」と表現しているのはなぜか?

A:時として、特に大企業では、BODで求められている14日間の期間内に脆弱性スキャンが完了しないことがある。この問題を解決するために、BOD 23-01では、前回のスキャンが完了したかどうかにかかわらず、14日ごとに新しいスキャンを開始(initiate)するよう機関に求めている。また、前回のスキャンが完全に完了していない場合でも、新しいスキャンが開始されてから3日後に前回のスキャンについての利用可能な結果を提供することも機関に求められている。

 「BOD 23-01」で求められる内容はいずれも「もっとも」なものではありますが、実現するのは決して容易なものではなく、かなり厳しいものとなっています。また、やるべきことは具体的に示されていますが、それをどのような技術(ソフトウェアなど)で実現すべきかは明記されておらず、自由度が高い分、対応する機関側の負担は大きいと言えるかもしれません。いずれにせよ、攻撃の対象となりやすく、しかも被害を受けた際の影響が大きい連邦政府機関の場合は、これくらいの備えをしておかなければならないのは仕方のないことなのでしょうし、少なくともCISAはそう判断したのでしょう。

 ところで、「BOD 23-01」はあくまで米国の連邦政府機関が対象であり、民間企業が対象になることはありませんし、そもそも民間企業にはあてはまらない内容も含まれています。しかし、民間企業にとっても、資産の可視化や脆弱性検知というセキュリティ対策の基本中の基本を改めて見直すための参考資料としては十分に使えるものとなっています。文量は決して多くはありませんので、セキュリティ担当の皆さんには全文に目を通しておくことを強くお勧めします。特に、実装ガイダンスに掲載されているFAQは参考になる点も少なくないはずです。また、「BOD 23-01」は現在の内容で完成しているわけではなく、CISAは18カ月以内に内容を見直すことを明言していますので、これからどのように改定されていくのかも見ていく必要があるでしょう。

Source