米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は1月31日(米国時間)、「CISA and FBI Release Secure by Design Alert Urging Manufacturers to Eliminate Defects in SOHO Routers|CISA」において、米国連邦調査局(FBI: Federal Bureau of Investigation)と共同でセキュアバイ・デザイン(SbD: Secure by Design)の一環として「小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)デバイスメーカー向けのセキュリティ設計改善に関するガイダンス」を発表した。
ガイダンスの概要
発表されたガイダンスは「Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers | CISA」から閲覧可能。
このガイダンスでは、脅威グループ、特に中華人民共和国(PRC: People's Republic of China)が支援する「Volt Typhoon」グループによる小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)向けルータの侵害経路の排除について指針を示している。具体的には、メーカー各社に対して以下を強く要求している。
- ルーターの設計、開発段階からWeb管理インタフェース(WMI: Web Management Interfaces)上の悪用可能な不具合を排除する
- デフォルトのデバイス設定について、「アップデートの自動化」「LANポート側にWMIを配置」「セキュリティ設定の解除には手動による上書きが必要」となるように調整する
また、CISAとFBIはメーカー各社に対し、次の点についても対応を促している。
- 脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)を使用した脆弱性情報の開示
- 共通脆弱性タイプ一覧(CWE: Common Weakness Enumeration)による正確な分類の提供
- 設計および開発段階からセキュリティを優先するインセンティブの導入
安全なソフトウェア設計
今回発表されたガイダンスは、「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software | Secure-by-Design | CISA」の原則1から3に沿った内容とされる。
- 顧客のセキュリティに責任を持つ
- 徹底的な透明性と説明責任を受け入れる
- これら目標を達成するための組織構造とリーダーシップを構築する
CISAはこれら原則を設計、開発、納品プロセスに導入することで、メーカー各社はSOHOルーターの悪用を防止可能としている。また、顧客の安全を守る責任を戦略的に考えていることを示すために、メーカー各社に対して独自のセキュアバイ・デザインのロードマップを公表することを求めている。