米国 NSAとCISAが共同でリモートアクセスVPNの選択と強化に関するガイダンスを発表していますね。。。

こんにちは、丸山満彦です。

米国の国家安全保障局 (NSA) とサイバーセキュリティ・重要インフラセキュリティ局 (CISA) が共同でリモートアクセスVPNの選択と強化に関するガイダンスを発表していますね。。。

興味深い内容ですね。。。

 

● National Security Agency (NSA)

・2021.09.28 NSA, CISA Release Guidance on Selecting and Hardening Remote Access VPNs

・[PDF] Selecting and Hardening Remote Access VPN Solutions

・[DOCX]　仮訳

 

NSA, CISA Release Guidance on Selecting and Hardening Remote Access VPNs	NSAとCISA、リモートアクセスVPNの選択と強化に関するガイダンスを発表
FORT MEADE, Md.   –   The National Security Agency and the Cybersecurity and Infrastructure Security Agency (CISA) released a joint Cybersecurity Information Sheet today detailing factors to consider when choosing a virtual private network (VPN) and top configurations for deploying it securely.  “Selecting and Hardening Remote Access VPN Solutions” also will help leaders in the Department of Defense, National Security Systems and the Defense Industrial Base better understand the risks associated with VPNs.	米国国家安全保障局とサイバーセキュリティ・重要インフラセキュリティ局 (CISA) は、本日、共同でサイバーセキュリティ情報シートを発表し、仮想プライベートネットワーク（VPN）を選択する際に考慮すべき要素と、安全に導入するための主要な構成について詳述しました。 また、「リモートアクセスVPNソリューションの選択と強化」は、国防総省、国家安全保障システム、国防産業基盤のリーダーが、VPNに関連するリスクをよりよく理解するのに役立ちます。
VPN servers are entry points into protected networks, making them attractive targets. Multiple nation-state advanced persistent threat (APT) actors have weaponized common vulnerabilities and exposures (CVEs) to gain access to vulnerable VPN devices. Exploitation of these CVEs can enable a malicious actor to steal credentials, remotely execute code, weaken encrypted traffic’s cryptography, hijack encrypted traffic sessions, and read sensitive data from the device. If successful, these effects usually lead to further malicious access and could result in a large-scale compromise to the corporate network.	VPNサーバは、保護されたネットワークへの入り口であり、魅力的なターゲットとなります。複数の国家のAPT（Advanced Persistent Threat）アクターが、共通の脆弱性と暴露（CVE）を武器に、脆弱なVPN機器にアクセスしています。これらのCVEを悪用することで、悪意のある行為者は、認証情報の窃取、リモートでのコード実行、暗号化されたトラフィックの暗号化の弱体化、暗号化されたトラフィックセッションのハイジャック、デバイスからの機密データの読み取りなどが可能になります。これらが成功すると、通常、さらなる悪意のあるアクセスにつながり、企業ネットワークの大規模な侵害につながる可能性があります。
The Information Sheet details considerations for selecting a remote access VPN, as well as actions to harden the VPN from compromise. Top hardening recommendations include using tested and validated VPN products on the National Information Assurance Partnership (NIAP) Product Compliant List, employing strong authentication methods like multi-factor authentication, promptly applying patches and updates, and reducing the VPN’s attack surface by disabling non-VPN-related features.	この情報シートでは、リモートアクセスVPNを選択する際の注意点や、VPNのセキュリティを強化するための対策について詳しく説明しています。堅牢化のための推奨事項としては、国家情報保証パートナーシップ (NIAP) 製品準拠リストに掲載されているテスト済み・検証済みのVPN製品を使用すること、多要素認証などの強力な認証方法を採用すること、パッチやアップデートを迅速に適用すること、VPNに関連しない機能を無効にしてVPNの攻撃対象を減らすことなどが挙げられます。
NSA is releasing this guidance as part of our mission to help secure the Department of Defense, National Security Systems and the Defense Industrial Base.	NSAは、国防総省、国家安全保障システム、国防産業基盤の安全確保を支援するという使命の一環として、このガイダンスを公開しています。
For more details on how to select a secure VPN and further harden your network, read the full Information Sheet here.	安全なVPNを選択し、ネットワークをさらに強化する方法の詳細については、こちらの情報シートをご覧ください。
For more cybersecurity guidance, visit NSA.gov/cybersecurity.	その他のサイバーセキュリティガイダンスについては、NSA.gov/cybersecurityをご覧ください。