サイバーハイジーンの不徹底によりセキュリティ・リスクの増大が考えられます。
CISA AA25-212A: Identity Security Recommendations to Address Cybersecurity Hygiene Gaps
このBeyondTrustのブログではCISA AA25-212Aで指摘された、脅威ハンティングによるセキュリティの問題点について整理したものです。
目的
米国CISAがある組織に対して行ったプロアクティブな「AA25‑212A」脅威ハンティングにより、侵害は確認されなかったものの、複数のサイバーハイジーン(サイバー衛生 Cyber Hygiene)上の重大な弱点が判明しました。この記事ではその内容を整理し、ID(アイデンティティ)セキュリティ戦略で対応する方法を提案しています。
「サイバーハイジーン(Cyber Hygiene)」とは、サイバーセキュリティを維持するための日常的な習慣や対策のことを指します。
CISAとは
CISA(Cybersecurity and Infrastructure Security Agency) は、アメリカ国土安全保障省(DHS)傘下で、以下の役割を担う連邦機関です。
- ミッション(使命):国家の重要インフラ(電力・水道・交通など)のサイバー・物理的セキュリティおよびレジリエンス(回復力)を強化し、リスクを軽減すること
- 活動範囲:政府機関だけでなく、民間企業、州/地方自治体とも連携し、サイバー脅威への対策、情報共有、ツール提供、緊急時の通信・調整支援などを実施
- 沿革:2007年にDHSのNPPD(National Protection and Programs Directorate)として設立され、2018年に正式にCISAが発足
AA25‑212Aとは
AA25‑212A は、CISAが2025年7月31日に発行した「Cybersecurity Advisory(サイバーセキュリティ勧告)」における識別コードです。これは、CISAが米国の重要インフラ組織に対して実施した「積極的脅威ハンティング (Proactive Threat Hunting)」の結果に基づくもので、主な内容は以下の通りです。
調査概要:
- CISAと米国沿岸警備隊(USCG)が共同で、対象組織に招請され、攻撃者の痕跡が存在するかを調査。
- 結果として、マルウェア等の侵害は確認されなかったが、重大なサイバー衛生(cyber hygiene)の欠如が判明。
確認された主なギャップ:
- ログ収集が不十分
- 認証情報の平文または不適切な保管
- ローカル管理者資格情報の共有
- リモート管理アクセスに関する制限不備
- IT/OTネットワークが平坦化(セグメンテーションの欠如)
- デバイス/サーバーの設定不備
目的と勧告:
- 他の重要インフラ運営者に同様のセキュリティリスクがある可能性を示し、プロアクティブな改善策を促すこと
- NISTの「Cross-Sector Cybersecurity Performance Goals(CPGs)」など既存フレームワークとも連携しながら、対策強化を推奨
脅威ハンティング (Threat Hunting)とは
脆弱性を見つけるペネとレーションテストと混同しますが、脅威ハンティングとは違います。
ペネトレーションテスト (Penetration Testing)
- 目的: システムの脆弱性(セキュリティの穴)を見つけること
- アプローチ: 攻撃者の視点に立ち、実際にシステムに侵入を試みる「模擬攻撃」
- 前提: 「このシステムは侵入できるか?」
- 例: 家のセキュリティ診断士が、許可を得て鍵開けを試みたり、窓が壊れやすいか試したりするイメージです。「どこから泥棒に入られる可能性があるか」を報告
- 成果物: 発見された脆弱性のリストと、その修正案(報告書)
脅威ハンティング (Threat Hunting)
- 目的: 防御システムをすり抜けて、すでにネットワーク内部に潜伏している脅威(攻撃者やマルウェア)を見つけ出すこと
- アプローチ: 防御者の視点に立ち、システム内のログや通信データをプロアクティブ(能動的)に分析
- 前提: 「すでに侵入されているかもしれない」(”Assume Breach” / 侵害の前提)
- 例: 家の警備員が、「すでに不審者が家の中に隠れているかもしれない」と考え、監視カメラの映像を通常より詳しくチェックしたり、物音に耳を澄ませたりして、隠れている不審者を探すイメージ
- 成果物: 潜伏していた脅威の検知と、その排除
CISA AA25‑212Aで明らかになったサイバーハイジーン(衛生)ギャップ
脅威ハンティングの結果以下のことがわかりました。
- ログ収集の不備:ログ管理が不足し、監査・対応のための可視性が低い。
- 平文または安全性の低い認証情報の保管
- ローカル管理者資格情報の共有:複数端末に共通の管理認証情報が存在。
- リモート管理アクセスの制限欠如:ネットワークセグメントが分離されておらず、自由にアクセス可能。
- IT/OTのネットワーク平坦化:セグメンテーションが不十分で横移動のリスク。
- デバイス・サーバーの設定不備:SSL無効化、弱いパスワードポリシー等の設定問題。
- NISTやCISAによる基本防御策の未実装。
解決策:IDセキュリティによる統合アプローチ
BeyondTrustは、PAM(Privileged Access Management)、IAM(Identity and Access Management)、ITDR(Identity Threat Detection and Respons)を利用した対策を提案しています。IDセキュリティを中心に据えることで、誰がどこにアクセスできるかを可視化・制御し、隠れた特権昇格経路の検出を実現します。
PAMによる対策
- IDの包括的検出:人や機械、サービスアカウント、ローカル/ドメイン管理者など全てのIDを検出
- 権限経路の可視化:True Privilege™やPaths to Privilege™によって昇格可能な経路を特定
- 最小特権の原則を適用:ゼロトラストフレームワークに沿った権限管理
- 集中ログによる責任追跡
- パスワード/シークレットの安全な保管・ローテーション
- セッション管理・監視・記録
ITDRによる対策
- 異常検知:資格情報利用・特権アクセスの異常をAIベースで検知
- 継続的ポスチャ評価:期限切れアカウント、設定不整合などのリスク検出
- SIEM/SOAR/ITSMとの統合:ログ収集と管理を改善
CISA勧告との対応マッピング
| CISAの指摘事項 | 推奨施策 | BeyondTrustの機能概要 |
|---|---|---|
| 共有認証情報 平文パスワード 期限切れ | パスワード保管と ローテーションの実施 | Password Safe: 安全な保管・ローテーション機能 |
| ログ収集の不備 | IDベースイベントログの統合と 可視化 | Pathfinder+Identity Insights: 中央ログと脅威検知 |
| リモートアクセス MFA未導入 | ネットワークセグメント化 共有管理の撤廃 MFAの強制 | Privileged Remote Access: アクセス制御・MFA適用・セッション管理 |
| IT/OT間のセグメント不備 | アカウントと ネットワークの分離 | Identity Security Insights: ドメイン/ネットワーク間の権限経路可視化 |
| デバイス設定の不備 | 構成ベースラインの 強化・差異検出 | Identity Security Insights: 恒常的なポスチャ評価 |
アプローチの哲学:反応型から予防型へ
CISAの脅威ハンティングで明らかになったような問題は、BeyondTrustのID中心アプローチを導入すれば事前に検出・修正可能です。単なるガイダンスへの準拠だけでなく、統合化されたIDセキュリティの運用自動化を通じて本質的なリスク削減を達成できます。これにより、事が起こってから反応するリアクティブな対応ではなく予防的に反応するプロアクティブな衛生管理への体制転換が可能になります。
まとめ
CISAが示すとおり、多くの本質的脆弱性は「ID管理と基盤構成の甘さ」に起因しています。BeyondTrustは、PAM・IAM・ITDRを統合したIDセキュリティの枠組みを提供し、ログ整備、認証情報管理、ネットワーク分離、設定管理を一貫して強化します。これによりCISAの指摘する衛生ギャップに実効性ある対応ができるだけでなく、ゼロトラスト化への移行を具現化するアプローチが提示されています。
BeyondTrust関連ページ
| リスクの高い特権アカウントの管理 | 特権アカウント 申請と承認 |
| 特権アカウントのパスワード管理に必要なこと | 危険なパスワードを見せない ~ 特権アカウントシングルサインオン |
| テレワーク時代のITサポート |
BeyondTrust 導入検討 BeyondTrust 製品評価方法について
製品
| Identity Security Insights | Entitle |
| Password Safe | Privileged Remote Access |
| Remote Support | Privilege Management for Windows and Mac |
| Privilege Management for Unix & Linux | Active Directory(AD) Bridge |
| 金融サービス | 連邦政府、州政府、地方自治体 | ヘルスケア IT |
| 法執行機関 | 製造業 | 教育テクノロジー |
無料のセキュリティツール - Privileged Access Discovery Application
| 特権アクセス管理(PAM)ソリューション比較 | リモート サポート ソフトウェア比較 | CyberArk vs BeyondTrust |
| Delinea vs BeyondTrust | TeamViewer vs. BeyondTrust | LogMeIn Rescue vs BeyondTrust |
| GoTo Resolve vs. BeyondTrust | Splashtop vs. BeyondTrust |
旧ページ
| BeyondTrust Password Safe (旧) | BeyondTrust Remote Support (旧ページ) |
| BeyondTrust Privileged Remote Access (PRA) (旧) | Privilege Management for Windows and Mac (旧) |
| BeyondTrust Privileged Identity |
| BeyondTrust | Leostream | Promon | i-Sprint AxMX | ブログ(旧) |
コメント