米 CISA と FBI「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを公表 | ScanNetSecurity
2025.10.03(金)

米 CISA と FBI「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを公表

 米CISA(Cybersecurity & Infrastructure Security Agency)と米連邦捜査局(FBI)は現地時間1月31日、「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを発表した。

製品・サービス・業界動向 業界動向

 米CISA(Cybersecurity & Infrastructure Security Agency)と米連邦捜査局(FBI)は現地時間1月31日、「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを発表した。

 同ガイダンスは、CISAが製品設計と開発にセキュリティを組み込むことで、メーカーが顧客へのセキュリティ負担を軽減すべきかに焦点を当てた新しい「セキュア・バイ・デザイン(SbD)アラート」シリーズの第3弾で、脅威行為者、特に中華人民共和国が支援する Volt Typhoon グループがSOHOルータを侵害するための経路を、製造業者がどのように排除できるかを検証している。

 CISAとFBIは同ガイダンスで、製造業者に下記を強く求めている。

・SOHOルータのウェブ管理インターフェイス(WMI)で製品の設計・開発段階で悪用可能な欠陥を排除する。
・デフォルトの機器設定を以下のように調整する:
 アップデート機能の自動化
 WMI を LAN 側ポートに配置する
 セキュリティ設定を削除するには、手動によるオーバーライドが必要

 CISA と FBI では、Volt Typhoon の活動やその他のサイバー脅威からの保護のため、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)を通じて脆弱性を開示し、これらの脆弱性の正確な共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)を提供するよう製造業者に求めている。さらに、製品の設計・開発時にセキュリティを優先するインセンティブ構造を導入するようメーカーに求めている。

 CISA と FBI では、SOHO 機器メーカーに対し、共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」の原則1から3に沿った「SOHO 機器メーカーのためのセキュリティ設計の改善」を読み、実施するよう促している。

1.顧客のセキュリティ成果のオーナーシップを持つ
2.抜本的な透明性と説明責任を受け入れる
3.これらの目標を達成するための組織構造とリーダーシップを構築する

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

    パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

ランキングをもっと見る
PageTop