やりがちなセキュリティのNG設定トップ10 CISAとNSAが共同発表：セキュリティニュースアラート

CISAとNSAはサイバーセキュリティの誤設定に関する共同アドバイザリを公開した。組織にありがちな10の誤設定とその対策について解説する。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）および米国家安全保障局（NSA）は2023年10月5日（現地時間）、大規模組織でやりがちなセキュリティの誤設定について、その詳細と対策をまとめたサイバーセキュリティアドバイザリを共同で公開した。

　このアドバイザリは、組織における10のセキュリティ誤設定に焦点を当て、それぞれの誤設定がどのように悪用されるか、またそれにどう対処すべきかについて詳細に解説している。

CISAとNSAは大規模な組織が陥りがちなサイバーセキュリティにおける10の誤設定を解説した（出典：CISAのWebサイト）

CISAとNSAが指摘するサイバーセキュリティの誤設定とその対策

　アドバイザリで取り上げられた、「10の間違い」は以下の通りだ。

1. デフォルト設定の誤り：　ソフトウェアやアプリケーションのデフォルト設定は必ずしも安全とは限らず、しばしばセキュリティリスクを抱えている。それにはデフォルト認証情報やサービス権限、設定などが含まれる
2. ユーザーおよび管理者権限の不適切な分離：　1つのアカウントに複数の役割が割り当てられている。その結果、権限が過剰になっている
3. 内部ネットワーク監視の不足：　ホストとネットワークのセンサーが最適に設定されていないことでネットワークトラフィックの収集とエンドホストログが不十分な状態になっている
4. ネットワークセグメンテーションの欠如：　セキュリティセグメンテーションが実施されていない。このためユーザーや製造、重要なシステムネットワーク間にセキュリティ境界が存在せずアクセス可能な状態になっている
5. 不適切なパッチ管理：　定期的なパッチ適用が実施されていない。システムは公開されたセキュリティ情報やエクスプロイトから保護されない状態になっている
6. システムアクセスコントロールバイパスのリスク：　代替認証方法が侵害されるとシステムアクセスコントロールがバイパスされる危険性がある
7. 弱い多要素認証（MFA）または誤設定されたMFA：　スマートカードやトークンの設定が誤っていてMFAが弱い状態になっている
8. ネットワーク共有とサービスのアクセス制御リストが不十分：　データ共有やリポジトリへのアクセスが不正に許可される状態になっている
9. 資格情報の不適切な管理：　資格情報が適切に管理されていないことでセキュリティリスクが高まっている
10. 制限のないコードの実行：　コードの実行に制限が設けられていないために悪意のある脅威アクターによってシステムがコントロールされるリスクがある

　同アドバイザリでは、これらの誤設定を是正するためには、ソフトウェアメーカーがセキュア・バイ・デザインの原則を採用し、ネットワークディフェンダーがこれらの弱点を軽減するための戦略と戦術を取る必要があるとしている。