オンプレ境界にある製品は、もはや“有害” 時代に合った対策できていますか？：半径300メートルのIT（1/2 ページ）

NCSCが公開したブログが非常に示唆に富んでいます。ネットワーク製品を痛烈に批判するその内容と、われわれが目指すべきセキュリティの形、そのためにベンダーに要求すべきことを解説します。

[宮田健，ITmedia]

　注目の文書が公開されました。英国立サイバーセキュリティセンター（NCSC）は2024年2月29日（現地時間）、ブログで「Products on your perimeter considered harmful（until proven otherwise）」を発表しました。意訳するなら、「境界に設置された製品は、安全であると証明できるまでは有害と見なすべき」。非常に示唆に富む、時代の変化に関する記事です。

NCSCが発表した記事「境界に設置された製品は、安全であると証明できるまでは有害と見なすべき」（出典：NCSCのブログ）

“安全であると証明できるまでは有害”の精神で対策を講じよ

　この記事では、攻撃者の狙う攻撃領域に変化が生まれていると述べられています。これまでは比較的単純な脆弱（ぜいじゃく）性が狙われ、境界を攻撃されてきました。しかし防御側が進歩して脆弱性を管理するようになった他、ActiveXの衰退やOfficeマクロ攻撃の防御策が功を奏し、攻撃者が簡単にエンドポイントを侵害できなくなってきました。

　この結果、攻撃者はファイル転送アプリケーションやファイアウォール、VPN機器などネットワーク境界に設置された製品や機器を狙うようになりました。NCSCはブログの中で、これらの製品の大半は「セキュア・バイ・デザインではない」上に、「ベンダーがセキュア・バイ・デザインを保証するには時間がかかる」と一刀両断しています。

　さらにNCSCはこの記事で、われわれにできることとして「セキュア・バイ・デザインをベンダーに強く迫ること」に加え、「ベンダーが設計上安全である証拠が提示できない場合、境界での使用を止めること」と非常に強烈な提案をしています。つまりこれは「オンプレミスからSaaSへの移行」を促しているわけです。

NCSCは、ベンダーが自社の製品が設計上安全であるという証拠を提示できない場合は、境界での使用を許可しないこと。その代わりにSaaSを利用することを推奨している（出典：NCSCのブログ）