米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は12月15日(米国時間)、「CISA Secure by Design Alert Urges Manufacturers to Eliminate Default Passwords|CISA」において、セキュア・バイ・デザイン(SbD: Secure by Design)の一環として、製造業者が製品に設定するデフォルトパスワードを廃止して顧客を保護するように促すガイダンス「Secure by Design Alert: How Manufacturers Can Protect Customers by Eliminating Default Passwords | CISA」を公開した。

  • CISA Secure by Design Alert Urges Manufacturers to Eliminate Default Passwords|CISA

    CISA Secure by Design Alert Urges Manufacturers to Eliminate Default Passwords|CISA

セキュア・バイ・デザインのガイダンスの概要

CISAは今回公開したガイダンスについて、デフォルトパスワードの悪用リスクを積極的に排除することを促すことが目的としている。これは、2023年10月25日(米国時間)に公開した共同ガイダンス「Secure-by-Design | CISA」の原則1と3を実施することに該当するとしている。共同ガイダンスの原則1と3の概要は次のとおり。

  • 原則1 - 顧客のセキュリティに対して責任を持ち、製品を進化させる。セキュリティの責任を顧客に押し付けるべきではない
  • 原則3 - 目標を達成するための組織構造とリーダーシップを構築する。製品セキュリティには技術的な専門知識が必要だが、組織に変化をもたらすのは幹部の役目。幹部は組織全体と顧客のセキュリティを製品開発の重要な要素として優先する必要がある

セキュア・バイ・デザインに向けた具体的な行動例

CISAは上記2つの原則を設計、開発、流通の各プロセスに導入することでデフォルトパスワードの悪用を防止できるとして、製造業者にガイダンスの閲覧と実施を推奨している。今回公開したガイダンスではこれら原則の具体的な行動例を示している。次にその概要を示す。

  • サイバー攻撃者はインターネットに公開されたデフォルトパスワード(「1234」や「password」など)を悪用するため、静的なデフォルトパスワードは廃止する
  • 製品1点ごとに推測できない異なるセットアップパスワードを提供する
  • セットアップを完了した際にセットアップパスワードを無効化し、フィッシング耐性のある多要素認証(MFA: Multi-Factor Authentication)などの安全な認証方法を有効化する
  • セットアップ作業および認証設定には物理的なアクセスを必須とする
  • 上記のアプローチを実行できない場合は、独自のセットアップ手順を設計し、同等のセキュリティを提供して安全性を確保する
  • フィールドテストを実施して顧客が製品を導入する手順を理解する。また、安全でない手順で導入することがあるのか確認する
  • 設計、開発、販売の各チームは実際の顧客が製品をどのように使用するのか、また、その使用法がサイバーセキュリティのリスクにどのように作用するのか調査する
  • 経営幹部はこれらを実現するための組織構造を構築し、必要なリソースを設計、開発、販売チームに割り当てる

CISAは企業に対し、共同ガイダンスに記載されている原則を採用することで、幅広いサイバー攻撃から保護してほしいと要請している。また、単にこれら対策を実施するだけではなく、顧客を守る責任を戦略的に考えていることを示すため、セキュア・バイ・デザインのロードマップを公表することを推奨している。