米国政府機関CISAが発表、バッドプラクティスって何?

米CISAは、2021年6月24日、サイバーリスクを増大させる行為のリストとして、「Bad Practice」[1]を発表しました。

CISAとは

CISA(Cybersecurity & Infrastructure Security Agency)は、米国国土安全保障省に属する政府機関であり、情報セキュリティとインフラの安全に関わる業務を行っています。

The Cybersecurity and Infrastructure Security Agency (CISA) is the Nation’s risk advisor, working with partners to defend against today’s threats and collaborating with industry to build more secure and resilient infrastructure for the future.

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は国家的リスクに関する助言を行う組織であり、今日の脅威に対する防衛のため関連組織と行動をし、将来に向けてより安全で強靭なインフラ設備を構築するために産業界と協同している。

[2]ABOUT CISA

バッドプラクティスが発表された背景

米CISAはサイト「BAD PRACTICE」[1]の冒頭で、昨今の事例からサイバー攻撃が政府や民間の重要な機能に対し甚大な影響を与えうることが明らかになったとしています。その上で、重要なインフラや国家の重要な機能を担う全ての機関は、国家の様々な面での安全のため、適切で効果的なサイバーセキュリティ対策を実施すべきであると指摘しています。

今回の発表は、このようにサイバーセキュリティの脅威が国家の安全をも脅かしつつあるという危機感からなされたものであると言えるでしょう。

バッドプラクティスとは

バッドプラクティスについて、CISAは以下のように定義しています。

The presence of these Bad Practices in organizations that support Critical Infrastructure or NCFs*1 is exceptionally dangerous and increases risk to our critical infrastructure, on which we rely for national security, economic stability, and life, health, and safety of the public.
重要なインフラ設備やNCF(*1)を支える組織でのバッドプラクティスの実践は非常に危険であり、我々の重要なインフラ設備のリスクを増大させる。そのインフラ設備は我々が国家安全保障や経済の安定、そして人々の生命・公衆衛生・公共の安全を守るために依存しているものである。

[1]BAD PRACTICES

バッドプラクティスリストに載っている行為は、公共の安全リスクを特に高めるものであるといえます。

バッドプラクティスの例

「BAD PRACTICE」のページ[1]では、バッドプラクティスの例として以下の2点を挙げ、これらは安全リスクを極めて上昇させるものとしています。

  • サポート外またはEOLを迎えたソフトウェアを使用すること
  • 既知の/共通の/初期設定のパスワードを使用すること

これらに該当するものとして、次の事例が考えられるのではないでしょうか。

  • サポート提供が終了した古いWindowsやOffice製品を使用し続けること
  • 市販ルーターの初期設定パスワードを変更せずに使用し続けること

なお、バッドプラクティスはあらゆる非推奨の行為を網羅するものではなく、リストに含まれていない全てのセキュリティに関する行為をCISAが認めている、またはリスクが十分低いと判断しているものではない、との注意を行っています。

まとめ

従来より、セキュリティに関するベストプラクティスは発表されてきましたが、今回その対になる概念としてバッドプラクティスが国家機関から発表されたことで、その危機感と、未だにこれらの危険な行為が広く行われている現実が窺えます。今後もリストは追加されていくようですので、定期的にチェックして、危険な行為を行っていないか見直してみてはいかがでしょうか。

注釈

*1 NCF(National Critical Functions)
政府や民間の機能であり、その混乱・崩壊・機能不全が、情報セキュリティ・国家的な経済・公衆衛生や国家安全保障・それらの複合概念を衰弱させ得るほど国家(ここでは米国)にとって重要な機能のこと。

参考文献