米 CISA と FBI「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを公表 | ScanNetSecurity
2025.10.25(土)

米 CISA と FBI「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを公表

 米CISA(Cybersecurity & Infrastructure Security Agency)と米連邦捜査局(FBI)は現地時間1月31日、「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを発表した。

製品・サービス・業界動向 業界動向

 米CISA(Cybersecurity & Infrastructure Security Agency)と米連邦捜査局(FBI)は現地時間1月31日、「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを発表した。

 同ガイダンスは、CISAが製品設計と開発にセキュリティを組み込むことで、メーカーが顧客へのセキュリティ負担を軽減すべきかに焦点を当てた新しい「セキュア・バイ・デザイン(SbD)アラート」シリーズの第3弾で、脅威行為者、特に中華人民共和国が支援する Volt Typhoon グループがSOHOルータを侵害するための経路を、製造業者がどのように排除できるかを検証している。

 CISAとFBIは同ガイダンスで、製造業者に下記を強く求めている。

・SOHOルータのウェブ管理インターフェイス(WMI)で製品の設計・開発段階で悪用可能な欠陥を排除する。
・デフォルトの機器設定を以下のように調整する:
 アップデート機能の自動化
 WMI を LAN 側ポートに配置する
 セキュリティ設定を削除するには、手動によるオーバーライドが必要

 CISA と FBI では、Volt Typhoon の活動やその他のサイバー脅威からの保護のため、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)を通じて脆弱性を開示し、これらの脆弱性の正確な共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)を提供するよう製造業者に求めている。さらに、製品の設計・開発時にセキュリティを優先するインセンティブ構造を導入するようメーカーに求めている。

 CISA と FBI では、SOHO 機器メーカーに対し、共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」の原則1から3に沿った「SOHO 機器メーカーのためのセキュリティ設計の改善」を読み、実施するよう促している。

1.顧客のセキュリティ成果のオーナーシップを持つ
2.抜本的な透明性と説明責任を受け入れる
3.これらの目標を達成するための組織構造とリーダーシップを構築する

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

ランキングをもっと見る
PageTop