米 CISA と FBI「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを公表 | ScanNetSecurity
2024.04.14(日)

米 CISA と FBI「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを公表

 米CISA(Cybersecurity & Infrastructure Security Agency)と米連邦捜査局(FBI)は現地時間1月31日、「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを発表した。

製品・サービス・業界動向 業界動向

 米CISA(Cybersecurity & Infrastructure Security Agency)と米連邦捜査局(FBI)は現地時間1月31日、「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを発表した。

 同ガイダンスは、CISAが製品設計と開発にセキュリティを組み込むことで、メーカーが顧客へのセキュリティ負担を軽減すべきかに焦点を当てた新しい「セキュア・バイ・デザイン(SbD)アラート」シリーズの第3弾で、脅威行為者、特に中華人民共和国が支援する Volt Typhoon グループがSOHOルータを侵害するための経路を、製造業者がどのように排除できるかを検証している。

 CISAとFBIは同ガイダンスで、製造業者に下記を強く求めている。

・SOHOルータのウェブ管理インターフェイス(WMI)で製品の設計・開発段階で悪用可能な欠陥を排除する。
・デフォルトの機器設定を以下のように調整する:
 アップデート機能の自動化
 WMI を LAN 側ポートに配置する
 セキュリティ設定を削除するには、手動によるオーバーライドが必要

 CISA と FBI では、Volt Typhoon の活動やその他のサイバー脅威からの保護のため、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)を通じて脆弱性を開示し、これらの脆弱性の正確な共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)を提供するよう製造業者に求めている。さらに、製品の設計・開発時にセキュリティを優先するインセンティブ構造を導入するようメーカーに求めている。

 CISA と FBI では、SOHO 機器メーカーに対し、共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」の原則1から3に沿った「SOHO 機器メーカーのためのセキュリティ設計の改善」を読み、実施するよう促している。

1.顧客のセキュリティ成果のオーナーシップを持つ
2.抜本的な透明性と説明責任を受け入れる
3.これらの目標を達成するための組織構造とリーダーシップを構築する

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  4. レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

    レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

  5. お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

    お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

  6. デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

    デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

  7. 悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語

    悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語

  8. 北海道信用金庫の職員が業務関係書類を自宅に持ち帰り、定例の内部監査で発覚

    北海道信用金庫の職員が業務関係書類を自宅に持ち帰り、定例の内部監査で発覚

  9. 北九州市立大学の教員のパソコンに遠隔操作、ファイルを閲覧された可能性

    北九州市立大学の教員のパソコンに遠隔操作、ファイルを閲覧された可能性

  10. 日本信用情報機構、第三者に信用情報を開示 ~ 本人確認書類偽造によるなりすまし

    日本信用情報機構、第三者に信用情報を開示 ~ 本人確認書類偽造によるなりすまし

ランキングをもっと見る