Five Eyes + チェコ、日本、韓国、オランダ エッジ・デバイスの安全に関する報告書...

こんにちは、丸山満彦です。

オーストラリア通信総局 - オーストラリアサイバーセキュリティセンターから、エッジ・デバイスの安全に関する報告書が公表されていますね...

日本と、米国、英国、カナダ、ニュージーランド、韓国、オランダ及びチェコの９か国が共同署名をしていますね...

 

 

● Australian Signals Directorate - Australian Cyber Security Centre

 

・2024.02.04 Securing edge devices

Securing edge devices	エッジ・デバイスの安全
Edge devices explained	エッジ・デバイスの説明
Edge devices are critical network components that serve as security boundaries between internal enterprise networks and the internet. Edge devices perform essential functions such as:	エッジ・デバイスは、エンタープライズ内部ネットワークとインターネットのセキュリティ境界として機能する重要なネットワーク・コンポーネントである。エッジ・デバイスは次のような重要な機能を果たす。
・managing data traffic	・データ・トラフィックの管理
・enforcing security policies	・セキュリティ・ポリシーの適用
・enabling seamless communication across network boundaries.	・ネットワーク境界を越えたシームレスなコミュニケーションの実現。
Positioned at the network's periphery – often referred to as "the edge" – these devices interface between an internal, private network and a public, untrusted network like the internet.	しばしば「エッジ」と呼ばれるネットワークの周辺部に配置されるこれらのデバイスは、内部プライベート・ネットワークとインターネットのようなパブリックで信頼されていないネットワークとの間のインターフェイスである。
The most common edge devices across enterprise networks include enterprise routers, firewalls and VPN concentrators. They can access other assets on the network, providing an appealing ingress point and target to malicious actors.	エンタープライズ・ネットワークで最も一般的なエッジ・デバイスには、エンタープライズ・ルーター、ファイアウォール、VPNコンセントレーターなどがある。これらはネットワーク上の他の資産にアクセスすることができ、悪意のある行為者にとって魅力的な侵入ポイントでありターゲットとなる。
Why you should secure your edge devices	エッジ・デバイスのセキュリティを確保すべき理由
Failing to secure edge devices is like leaving a door open from the internet to internal networks, which could allow malicious actors to gain unauthorised access. From there, they can access sensitive data and disrupt business operations.	エッジ・デバイスのセキュリティを確保しないことは、インターネットから内部ネットワークへのドアを開けっ放しにしているようなものであり、悪意のある行為者が不正にアクセスすることを許してしまう可能性がある。そこから機密データにアクセスされ、業務を妨害される可能性がある。
Malicious actors are increasingly targeting internet-facing edge devices. Any organisations with a connection to the internet deploys at least one edge device, making it crucial to address their security.	悪意のある行為者は、インターネットに接続されたエッジ・デバイスを標的とするようになっている。インターネットに接続している組織は、少なくとも1つはエッジ・デバイスを展開しており、そのセキュリティ対策は極めて重要である。
Although edge devices can boost an organisation’s efficiency, it can be easy to overlook the security vulnerabilities that edge devices present. The more edge devices there are, the greater the potential threat surface, making it more challenging for operational staff and cyber security staff to secure.	エッジ・デバイスは組織の効率を向上させるが、エッジ・デバイスが持つセキュリティの脆弱性を見落としがちである。エッジ・デバイスの数が多ければ多いほど、潜在的な脅威の表面は大きくなり、運用スタッフやサイバー・セキュリティ・スタッフがセキュリティを確保するのは難しくなる。
It is important to secure these edge devices to minimise risks and ensure they don’t become a liability that could compromise the entire network. Compromised edge devices can lead to significant detriments to an organisation such as:	リスクを最小化し、ネットワーク全体を危険にさらす可能性のある負債にならないようにするためには、これらのエッジ・デバイスを保護することが重要である。エッジデバイスが侵害されると、
・data loss	・データ損失
・loss of intellectual property	・知的財産の損失
・disruption of business operations	・業務の中断
・financial loss	・財務上の損失
・reputational damage	・風評被害
・legal implications.	・法的影響など、組織に重大な不利益をもたらす可能性がある。
Feature publications	特集
Mitigation strategies for edge devices: Executive guidance	エッジデバイスの緩和戦略： エグゼクティブガイダンス
This publication provides a high-level summary of ASD’s existing guidance to manage and secure edge devices effectively.	本書は、エッジデバイスを効果的に管理し保護するためのASDの既存ガイダンスのハイレベルな要約を提供する。
Mitigation strategies for edge devices: Practitioner guidance	エッジデバイスの緩和戦略：実務者向けガイダンス
This publication provides a high-level summary of ASD’s existing guidance to manage and secure edge devices effectively.	本書は、エッジデバイスを効果的に管理し保護するためのASDの既存ガイダンスのハイレベルな要約を提供する。
Digital forensics and protective monitoring specifications for producers of network devices and appliances	ネットワーク機器やアプライアンスの生産者向けのデジタル・フォレンジックと保護監視の仕様
This publication outlines expectations on the minimum requirements for forensic visibility. It aims to help network defenders better secure organisational networks, both before and after a potential compromise.	本書は、フォレンジック可視化のための最低要件についての期待を概説している。潜在的な侵害の前と後の両方において、ネットワーク防御者が組織ネットワークをより安全に保護できるようにすることを目的としている。
Security considerations for edge devices	エッジデバイスのセキュリティに関する考慮事項
This publication provides guidance on securing VPNs, routers and firewalls in an organisational context. It is tailored for senior leaders in an IT decision-making role.	本書は、VPN、ルーター、ファイアウォールを組織的に保護するためのガイダンスを提供する。ITの意思決定を行うシニアリーダーを対象としている。

 

・2025.02.04 Mitigation strategies for edge devices: Executive guidance

Mitigation strategies for edge devices: Executive guidance	エッジデバイスの緩和戦略 エグゼクティブ・ガイダンス
Malicious actors are increasingly targeting internet-facing edge devices to gain unauthorised access to networks; therefore, it is vital that organisations prioritise securing edge devices in their environments. Edge devices are critical network components that serve as security boundaries between internal enterprise networks and the internet. The most commonly observed edge devices implemented across enterprise networks include enterprise routers, firewalls, and VPN concentrators. These devices perform essential functions such as managing data traffic, enforcing security policies, and enabling seamless communication across network boundaries. Positioned at the network's periphery - often referred to as "the edge" - these devices connect an internal, private network and a public, untrusted network like the internet.	悪意のある行為者は、ネットワークへの不正アクセスを得るために、インターネットに面したエッジ・デバイスを標的にすることが増えている。したがって、組織は、その環境においてエッジ・デバイスの安全確保を優先することが不可欠である。エッジデバイスは、エンタープライズの内部ネットワークとインターネットとのセキュリティ境界となる重要なネットワークコンポーネントである。エンタープライズ・ルーター、ファイアウォール、VPNコンセントレーターなど、企業ネットワークで最も一般的に導入されているエッジ・デバイスがある。これらのデバイスは、データ・トラフィックの管理、セキュリティ・ポリシーの実施、ネットワーク境界を越えたシームレスなコミュニケーションの実現など、必要不可欠な機能を果たす。ネットワークの周辺に位置し、しばしば「エッジ」と呼ばれるこれらのデバイスは、内部プライベート・ネットワークとインターネットのようなパブリックで信頼されていないネットワークを接続している。
Failing to secure edge devices is like leaving a door open from the internet to internal networks, potentially allowing malicious actors to gain access to networks from there, they can access sensitive data and disrupt operations.	エッジデバイスのセキュリティ確保を怠ることは、インターネットから内部ネットワークへのドアを開けっ放しにしているようなもので、悪意のある行為者がそこからネットワークにアクセスし、機密データにアクセスしたり、業務を妨害したりする可能性がある。
If organisations have not applied zero trust principles in their environments, malicious actors can use a range of techniques to gain access through network edge devices. This typically occurs through identifying and exploiting newly released vulnerabilities for edge devices, which have a poor track record for product security. Both skilled and unskilled malicious actors conduct reconnaissance against internet-accessible endpoints and services to identify and exploit vulnerable devices.	組織の環境にゼロトラスト原則が適用されていない場合、悪意のある行為者はネットワーク・エッジ・デバイスを通じてアクセスするために様々なテクニックを使うことができる。これは通常、製品セキュリティの実績が乏しいエッジ・デバイス向けに新たにリリースされた脆弱性を特定し、悪用することで発生する。熟練した悪意のある行為者もそうでない行為者も、インターネットにアクセス可能なエンドポイントやサービスに対して偵察を行い、脆弱性のあるデバイスを特定して悪用する。
Some examples of malicious actors exploiting edge devices include:	エッジ・デバイスを悪用する悪意のある行為者の例には、以下のようなものがある：
・PRC state-sponsored actors compromise and maintain persistent access to U.S. critical infrastructure (ASD)	・中華人民共和国の国家に支援された行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する（ASD）
・People's Republic of China-Linked Cyber Actors Hide in Router Firmware (CISA)	・中華人民共和国関連のサイバー行為者がルータのファームウェアに潜む（CISA）
Scope	範囲
This publication offers a high-level summary of existing guidance for securing edge devices from the cybersecurity authorities of the following partnered countries: Australia, Canada, Czech Republic, Japan, Netherlands, New Zealand, South Korea, the United Kingdom, and the United States. It consolidates key practices for effectively managing and securing edge devices. This guidance is intended for executives within large organisations and critical infrastructure sectors responsible for the deployment, security, and maintenance of enterprise networks.	本書は、以下の提携国のサイバーセキュリティ当局によるエッジデバイスの安全確保に関する既存のガイダンスのハイレベルな要約を提供する： オーストラリア、カナダ、チェコ共和国、日本、オランダ、ニュージーランド、韓国、英国、米国である。このガイダンスは、エッジデバイスを効果的に管理し、セキュリティを確保するための重要な実践方法をまとめたものである。このガイダンスは、エンタープライズ・ネットワークの展開、セキュリティ、保守を担当する大規模組織や重要インフラ部門の幹部を対象としている。
Disclaimer: The information in this guide is being provided “as is” for informational purposes only. The authoring agencies do not endorse any commercial entity, product, company, or service, including any entities, products, or services linked within this document. Any reference to specific commercial entities, products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply endorsement, recommendation, or favouring by the authoring agencies.	免責事項：本ガイドの情報は、情報提供のみを目的として「現状のまま」プロバイダとして提供される。認可機関は、本文書内でリンクされている事業体、製品、企業、サービスを含め、いかなる事業体、製品、企業、サービスも保証しない。サービスマーク、商標、製造事業者、その他による特定の事業体、製品、プロセス、またはサービスへの言及は、執筆機関による承認、推奨、または支持を意味するものではない。
Summary of mitigation strategies	緩和戦略の概要
The following table outlines key strategies for securing edge devices, aimed at enhancing network security and reducing vulnerabilities.	次の表は、ネットワークセキュリティを強化し、脆弱性を低減することを目的とした、エッジデバイスの安全性を確保するための主要な戦略の概要である。
Know the edge	エッジを知る
Endeavour to understand where the periphery of the network is, and audit which devices sit across that edge. Identify devices that have reached End-of-Life (EOL) and remove/replace them.	ネットワークの周辺がどこにあるかを理解し、どのデバイスがそのエッジを横切っているかを監査する。耐用年数（EOL）に達したデバイスを特定し、撤去／交換する。
Procure secure-by-design devices	セキュアバイデザインのデバイスを調達する
Prioritise procuring edge devices from manufacturers that follow secure-by-design principles during product development. Explicitly demand product security as part of the procurement process; for more guidance consider Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem. Track deliveries and maintain assurance that malicious actors have not tampered with edge devices.	製品開発時にセキュアバイデザインの原則に従う製造事業者からエッジデ バイスを調達することを優先する。調達プロセスの一環として、製品のセキュリティを明示的に要求する。詳細なガイダンスについては、「セキュア・バイ・デマンド・ガイド」を参照： 詳細は、「セキュア・バイ・デマンド・ガイド ソフトウェア顧客がセキュアなテクノロジー・エコシステムを推進する方法」を参照されたい。納入品を追跡し、悪意のある行為者がエッジデバイスを改ざんしていないことを保証する。
Apply hardening guidance, updates and patches	ハードニングガイダンス、アップデート、パッチの適用
Review and implement specific vendor hardening guidance. Ensure prompt application of patches and updates to edge devices to protect against known vulnerabilities.	特定のベンダーのハードニングガイダンスをレビューし、実施する。既知の脆弱性から保護するために、エッジデバイスにパッチとアップデートを迅速に適用する。
Implement strong authentication	強固な認証を導入する
Implement robust identity and access management practices to prevent unauthorised access with weak credentials or poor access controls. Implement phishing-resistant multi-factor authentication (MFA) across edge devices to protect against exploitation.	強固なアイデンティティ管理、認証／アクセス制御を導入し、脆弱な認証情報や不十分なアクセス制御による不正アクセスを防止する。フィッシングに強い多要素認証（MFA）をエッジデバイス全体に導入し、悪用から保護する。
Disable unneeded features and ports	不要な機能とポートを無効にする
Regularly audit and disable unused features and ports on edge devices to minimise the attack surface.	定期的に監査し、エッジデバイスの未使用の機能とポートを無効にすることで、攻撃対象領域を最小化する。
Secure management interfaces	管理インタフェースの保護
Limit exposure by ensuring management interfaces are not directly internet accessible.	管理インタフェースがインターネットから直接アクセスできないようにすることで、エクスポージャを制限する。
Centralise monitoring for threat detection	脅威検知のための集中監視
Ensure centralised visibility and log access to detect and investigate security incidents. Event logs should also be backed up and data redundancy practices should be implemented.	セキュリティ・インシデントを検知・調査するために、集中的な可視化とログ・アクセスを確保する。イベントログもバックアップし、データの冗長化を実施する。
Frameworks and controls	枠組みおよび管理
The authoring organisations provide the following publications for organisations to use that contain the best practice guidance on securing, hardening, and managing edge devices effectively. All organisations are encouraged to review and follow these policies, procedures, and publications to improve the security of their edge devices. Organisations should prioritise implementing the recommendations developed by their national cybersecurity authorities when developing a plan of action and implementation for securing their edge devices.	認可機関は、エッジデバイスのセキュリティ確保、堅牢化、および効果的な管理に関するベストプラクティスのガイダンスを含む、組織が使用するための以下の出版物を提供している。すべての組織は、エッジデバイスのセキュリティを改善するために、これらのポリシー、手順、および出版物を見直し、それらに従うことが推奨される。組織は、エッジデバイスのセキュリティを確保するための行動計画および実施計画を策定する際には、各国のサイバーセキュリティ当局が策定した勧告を優先的に実施すべきである。
The following publications have been sourced to build the mitigations within this guide:	本ガイドの緩和策を構築するために、以下の出版物を入手した：
Australian Signals Directorate (ASD)	Australian Signals Directorate (ASD)
Information Security Manual (ISM) and Essential Eight Maturity Model (E8MM)	Information Security Manual (ISM) and Essential Eight Maturity Model (E8MM)
ASD’s ISM provides a comprehensive set of guidelines for protecting IT and OT systems from cyberthreats. It includes standards for system hardening, networking and device procurement. The ISM aligns with the E8MM, which outlines strategies to protect against cybersecurity threats; each strategy has different maturity levels designed to support organisations in achieving progressively higher security standards.	ASD の ISM は、IT と OT システムをサイバー脅威から防御するための包括的なガイドラインを提供している。システムハードニング、ネットワーキング、デバイス調達の標準が含まれている。ISMは、サイバーセキュリティの脅威から保護するための戦略を概説するE8MMと整合している。各戦略には、組織が段階的に高いセキュリティ基準を達成するのをサポートするように設計された異なる成熟度がある。
Cybersecurity and Infrastructure Security Agency (CISA)	サイバーセキュリティ・インフラセキュリティ庁（CISA）
Cross-Sector Cybersecurity Performance Goals (CPGs)	クロスセクター・サイバーセキュリティ・パフォーマンス目標（CPG）
CISA’s CPGs, which align with the NIST CSF, offer a prioritised list of security outcomes, aimed at meaningfully reducing risks to both critical infrastructure operations and the American people. These goals are tailored to address sector-specific risks, providing organisations with concrete, outcome-focused objectives to improve their resilience against cyberthreats.	NIST CSFと整合するCISAのCPGは、重要インフラの運用と米国民の両方に対するリスクを有意に低減することを目的とした、セキュリティ成果の優先順位付けされたリストを提供する。これらの目標は、セクター固有のリスクに対処するように調整されており、サイバー脅威に対するレジリエンスを改善するための具体的で成果に焦点を当てた目標を組織に提供している。
Canadian Centre for Cyber Security (CCCS)	Canadian Centre for Cyber Security (CCCS)
Cross-Sector Cyber Security Readiness Goals (CRG) Toolkit	Cross-Sector Cyber Security Readiness Goals (CRG) Toolkit
CCCS’s CRGs offer a practical framework to protect organisations from common cyberthreats. Designed to align with CISA’s Cybersecurity Performance Goals (CPGs) and National Institute of Standards and Technology’s (NIST) Cyber Security Framework (CSF), these baseline controls emphasise foundational practices like secure configurations, incident response, and access management to guide organisations in managing and reducing cybersecurity risks.	CCCSのCRGは、一般的なサイバー脅威から組織を守るための実践的な枠組みを提供する。CISAのサイバーセキュリティ・パフォーマンス・ゴール（CPG）および国立標準技術研究所（NIST）のサイバーセキュリティ・フレームワーク（CSF）と整合するように設計されたこれらの基本管理は、安全な設定、インシデント対応、アクセス管理などの基本的なプラクティスに重点を置いており、組織がサイバーセキュリティ・リスクをマネジメントし、低減するための指針となる。
New Zealand National Cyber Security Centre (NCSC-NZ)	ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
New Zealand Information Security Manual (NZISM) and Cyber Security Framework (CSF)	ニュージーランド情報セキュリティマニュアル（NZISM）およびサイバーセキュリティフレームワーク（CSF）
The NZISM and NCSC-NZ CSF provide a comprehensive set of controls and standards to secure information systems across New Zealand's government and critical infrastructure sectors. Covering aspects such as system hardening, network management, and incident response, the NZISM and CSF support organisations in implementing robust cybersecurity measures aligned with national security requirements.	NZISMおよびNCSC-NZ CSFは、ニュージーランドの政府および重要インフラ部門全体の情報システムを保護するための包括的な制御と標準のセットを提供する。システムの堅牢化、ネットワーク管理、インシデント対応などの側面をカバーするNZISMとCSFは、国家安全保障要件に沿った強固なサイバーセキュリティ対策を実施する組織を支援する。
National Cyber Security Centre (NCSC-UK)	National Cyber Security Centre (NCSC-UK)
Cyber Assessment Framework (CAF)	Cyber Assessment Framework (CAF)
The NCSC’s CAF provides a systematic and comprehensive approach to assessing the extent to which organisations are affected by cyberrisks based on the organisation’s essential functions and supports organisations in building their cyberresilience against these risks. Focusing on key principles such as governance, asset management, and system resilience, the CAF supports organisations in aligning their practices with the UK’s National Cyber Security Strategy, helping them mitigate risks to essential services.	NCSCのCAFは、組織がどの程度サイバーリスクの影響を受けるかを組織の必須機能に基づいて評価する体系的かつ包括的なアプローチを提供し、これらのリスクに対する組織のサイバー強靭性構築を支援する。ガバナンス、資産管理、システムレジリエンスなどの主要原則に重点を置き、CAFは英国の国家サイバーセキュリティ戦略と組織の実務を整合させ、必要不可欠なサービスへのリスク緩和を支援する。
Ministry of Economy, Trade and Industry (METI-JP)	経済産業省（METI-JP）
Cybersecurity Management Guidelines	サイバーセキュリティ経営ガイドライン
METI and Information-technology Promotion Agency (IPA) provide the Cybersecurity Management Guidelines for business executives to promote cybersecurity measures under the leadership of management. From the perspective of protecting companies from cyberattacks, the guidelines outline "three principles" that executives need to recognize, as well as "ten important items" that they should instruct the responsible executives (such as the CISO) to implement information security measures.	経済産業省と情報処理推進機構（IPA）は、経営者が主導してサイバーセキュリティ対策を推進するための「サイバーセキュリティ経営ガイドライン」を提供している。同ガイドラインでは、サイバー攻撃から企業を守るという観点から、経営者が認識すべき「3つの原則」と、情報セキュリティ対策を実施するために責任ある経営者（CISOなど）に指示すべき「10の重要項目」を示している。
Procuring edge devices that are secure by design	セキュア・バイ・デザインのエッジ・デバイスを調達する
Before procuring any edge device, organisations must evaluate the manufacturer - including its country of origin, and its product - to ensure all security concerns have been considered and addressed. Choosing technologies that have been developed following secure-by-design practices will assist organisations in building a resilient enterprise network that maintains confidentiality, integrity and availability and mitigates costly events.	組織は、エッジ・デバイスを調達する前に、製造事業者（原産国や製品を含む）を評価し、セキュリティ上の懸念事項がすべて考慮され、対処されていることを確認する必要がある。セキュア・バイ・デザインに従って開発された技術を選択することは、機密性、完全性、可用性を維持し、コストのかかる事象を緩和するレジリエンスに優れたエンタープライズ・ネットワークを構築する上で、組織を支援することになる。
The authoring organisations recommend the following publications for guidance when procuring edge devices:	認可組織は、エッジデバイスを調達する際の指針として、以下の出版物を推奨する：
・Choosing Secure and Verifiable Technologies: Secure-by-Design Foundations (ASD)	・セキュアで検証可能な技術を選択する： Secure-by-Design Foundations (ASD)
・Secure-by-Design Foundations (ASD)	・Secure-by-Design Foundations (ASD)
・Cyber supply chain: An approach to assessing risk (CCCS)	・サイバーサプライチェーン： リスクを評価するためのアプローチ（CCCS）
・Supply chain security guidance (NCSC-UK)	・サプライチェーンセキュリティガイダンス（NCSC-UK）
・Secure-by-Design(CISA)	・セキュアバイデザイン（CISA）
・Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem (CISA and Federal Bureau of Investigation [FBI])	・セキュアバイデマンドガイド：ソフトウェア顧客がセキュアなテクノロジー・エコシステムを推進するには（CISAと連邦捜査局[FBI]）。
Additionally, selecting labelled or certified products, such as products with the JC-STAR label in Japan, will help organisations to procure products with appropriate security measures in place.	さらに、日本のJC-STARラベル付き製品など、ラベル付きまたは認証済みの製品を選択することは、組織が適切なセキュリ ティ対策を講じた製品を調達するのに役立つ。
Furthermore, the authoring agencies encourage all edge device manufacturers to make their products secure by design. Manufacturers can review CISA’s Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers for guidance on how to implement secure features by default in their products and join CISA’s Secure by Design Pledge. This pledge outlines specific goals for manufacturers to meet to make their products more secure, including goals to reduce the presence of vulnerabilities in their products and transparently report on vulnerabilities.	さらに、認可事業者は、すべてのエッジ・デバイス・メーカーに対し、自社製品を設計によってセキュアにすることを奨励している。製造事業者は、CISAの「セキュア・バイ・デザイン・アラート：SOHOデバイス製造業者のためのセキュリティ設計改善」を参照し、製品にデフォルトでセキュアな機能を実装する方法に関するガイダンスを得るとともに、CISAの「セキュア・バイ・デザイン誓約」に参加することができる。この誓約には、製造事業者が製品の安全性を高めるために満たすべき具体的な目標が概説されており、これには、製品の脆弱性の存在を減らし、脆弱性について透明性をもって報告するという目標も含まれている。
Network segmentation and segregation	ネットワークのセグメンテーションと分離
Network segmentation and segregation are critical to safeguarding an organisation’s environment by limiting potential pathways for unauthorised access and lateral movement within their networks. By isolating sensitive systems, this approach strengthens defences against cyberthreats, minimises the impact of breaches, and ensures resilient operations across interconnected systems.	ネットワークのセグメンテーションと分離は、ネットワーク内の不正アクセスや横方向の移動の潜在的な経路を制限することで、組織の環境を保護するために不可欠である。機密性の高いシステムを隔離することで、このアプローチはサイバー脅威に対する防御を強化し、侵害の影響を最小限に抑え、相互接続されたシステム全体でレジリエンスを確保する。
The authoring organisations recommend the following publications for guidance on network segmentation and segregation:	認可機関は、ネットワークのセグメンテーションと分離に関するガイダンスとして、以下の出版物を推奨する：
・Implementing Network Segmentation and Segregation (ASD)	・ネットワークのセグメンテーションと分離の実装（ASD）
・A zero trust approach to security architecture (CCCS)	・セキュリティアーキテクチャへのゼロトラストアプローチ（CCCS）
・Baseline security requirements for network security zones (version 2.0) - ITSP.80.022 (CCCS)	・ネットワークセキュリティゾーンのベースラインセキュリティ要件（バージョン2.0） - ITSP.80 .022 (CCCS)
・Preventing Lateral Movement (NCSC-UK)	・横断的な移動の防止（NCSC-UK）
・Cross-Sector CPGs; Securing Network Infrastructure Devices; Zero Trust Maturity Model; Layering Network Security Through Segmentation Infographic (CISA)	・分野横断的な CPG；ネットワークインフラストラクチャデバイスの保護；ゼロトラスト成熟度モデル；セグメンテーションによるネットワークセキュリティの階層化 インフォグラフィック（CISA）
・Reducing the risk of network compromises (NSA)	・ネットワーク侵害のリスクの低減（NSA）
Gateway hardening	ゲートウェイハードニング
Gateway hardening aims to help organisations design, procure, operate, maintain, or dispose of gateway services. A gateway is a boundary system that separates different security domains and allows an organisation to enforce its security policy for data transfers between the different security domains. Partnered cybersecurity authorities strive to assist organisations in addressing cybersecurity challenges and making informed risk-based decisions to enhance gateway security.	ゲートウェイハードニングは、組織がゲートウェイサービスを設計、調達、運用、保守、廃棄するのを支援することを目的とする。ゲートウェイとは、異なるセキュリティドメインを分離する境界システムであり、異なるセキュリティドメイン間のデータ転送に対して、組織がセキュリティポリシーを実施できるようにするものである。提携するサイバーセキュリティ当局は、組織がサイバーセキュリティの課題に対処し、ゲートウェイのセキュリ ティを強化するために十分な情報に基づいたリスクベースの意思決定を行うことを支援するよう努め ている。
The authoring organisations recommend the following publications for guidance on gateway hardening:	認可機関は、ゲートウェイの堅牢化に関するガイダンスとして、以下の出版物を推奨する：
・Gateway Security Guidance Package (ASD)	・ゲートウェイセキュリティガイダンスパッケージ（ASD）
・Top 10 IT security actions to protect Internet connected networks and information (CCCS)	・インターネットに接続されたネットワークと情報を保護するための IT セキュリティアクショントップ 10（CCCS）
・Trusted Internet Connections (TIC) (CISA)	・信頼されたインターネット接続（TIC）（CISA）
・Network Infrastructure Security Guidance; Hardening Network Devices (NSA)	・ネットワークインフラストラクチャセキュリティガイダンス; ネットワークデバイスの堅牢化（NSA）
Securing edge devices in smart infrastructure	スマートインフラにおけるエッジデバイスの保護
Edge devices play a key role in modern smart infrastructure, where they serve as critical connection points that support data flow and communication across smart technologies.	エッジデバイスは、スマート技術間のデータフローとコミュニケーションをサポートする重要な接続ポイントとして、現代のスマートインフラストラクチャで重要な役割を果たす。
The authoring organisations recommend the following publications for guidance toward securing edge devices in smart infrastructure:	認可機関は、スマートインフラにおけるエッジデバイスのセキュリティ確保に向けた指針として、以下の出版物を推奨する：
・An Introduction to Securing Smart Places  (ASD)	・スマートプレイスのセキュリティ序文（ASD）
・VPNs (CCCS)	・VPN（CCCS）
・Connected Communities (CCCS)	・コネクテッドコミュニティ（CCCS）
・VPNs; Network Architectures (NCSC-UK)	・VPN ;ネットワークアーキテクチャ（NCSC-UK）
・Cybersecurity Best Practices for Smart Cities (CISA)	・スマートシティのためのサイバーセキュリティベストプラクティス（CISA）
Event logging and threat detection	Event logging and threat detection
Once malicious actors have established a foothold within a network, they can use living-off-the-land (LOTL) techniques, which involve leveraging built-in tools and system processes to achieve their objectives. This makes it difficult for network defenders to differentiate malicious activity from legitimate activity. To defend against these techniques, it is crucial to have comprehensive event logging and network telemetry to enable visibility and detect threats.	いったん悪意のあるアクターがネットワーク内に足がかりを築くと、その目的を達成するために組み込みのツールやシステムプロセスを活用するLOTL（Living-off-the-Land）テクニックを使うことができる。このため、ネットワーク防御側にとっては、悪意のある活動と正当な活動を区別することが難しくなる。このような手法から防御するためには、包括的なイベント・ロギングとネットワーク・テレメトリーを行い、脅威の可視化と検知を可能にすることが極めて重要である。
Where compromises occur, or are suspected to have occurred, robust logging will help organisations effectively monitor for threats and intrusions.	侵害が発生した場合、または発生した疑いがある場合、堅牢なロギングは、組織が脅威と侵入を効果的に監視するのに役立つ。
The authoring organisations recommend the following publications for guidance on monitoring for threats and intrusions:	認可組織は、脅威と侵入の監視に関するガイダンスとして、以下の出版物を推奨する：
・Best Practices for Event Logging and Threat Detection (ASD)	・イベントロギングと脅威検知のベストプラクティス（ASD）
・Introduction to logging for security purposes (NCSC-UK)	・セキュリティ目的のロギング序文（NCSC-UK）
・Cross-Sector CPGs (CISA)	・クロスセクター CPG（CISA）
・Network security logging and monitoring (CCCS)	・ネットワークセキュリティロギングとモニタリング（CCCS）
Legacy edge devices	レガシーエッジデバイス
Edge devices will eventually become legacy hardware, or End-of-Life (EOL), when software is no longer supported or updated by the manufacturer. Edge devices that have reached EOL, especially those no longer supported by manufacturers, can be more vulnerable to cyberthreats. It is crucial to upgrade software to supported versions or replace edge devices that have reached EOL to ensure that they remain secure against cyberthreats.	エッジデバイスは、製造事業者によってソフトウェアのサポートやアップデートが行われなくなると、いずれレガシーハードウェア、すなわちEOL（End-of-Life）となる。EOLに達したエッジデバイス、特に製造事業者のサポートが終了したエッジデバイスは、サイバー脅威に対してより脆弱性を持つ可能性がある。エッジデバイスがサイバー脅威に対して安全であり続けるためには、ソフトウェアをサポートされるバージョンにアップグレードするか、EOLに達したエッジデバイスを交換することが極めて重要である。
The authoring organisations recommend the following publications for guidance on understanding, assessing and managing the risks associated with legacy edge devices:	レガシーエッジデバイスに関連するリスクを理解し、アセスメントし、マネジメントするためのガイダンスとして、認可機関は以下の出版物を推奨する：
・Managing the Risk of Legacy IT: Executive Guidance (ASD)	・レガシーITのリスクマネジメント：エグゼクティブガイダンス (ASD)
・Obsolete products (CCCS)	・旧製品 (CCCS)
・Obsolete products (NCSC-UK)	・製造中止製品(NCSC-UK)
・Understanding Patches and Software Updates (CISA)	・パッチとソフトウェア・アップデートを理解する (CISA)

 

 

・2025.02.04 Mitigation strategies for edge devices: Practitioner guidance

目次...

Introduction: Living on the edge	序文 エッジに生きる
Overview of edge devices	エッジデバイスの概要
Risks and threats	リスクと脅威
Case study – Cutting Edge	ケーススタディ - エッジを切る
Frameworks and controls	枠組みと制御
Summarised list of mitigation strategies	緩和戦略の要約リスト
Mitigation strategies for edge devices	エッジデバイスの緩和戦略
Conclusion	結論
Further guidance	さらなる指針
Footnotes	脚注

 

 

 

・2025.02.04 Guidance on digital forensics and protective monitoring specifications for producers of network devices and appliances

 

目次...

Context to this guidance	本ガイダンスの背景
What and who is this guidance for?	このガイダンスは何のために、誰のためにあるのか？
Logging Requirements	ロギング要件
Forensic data acquisition requirements	フォレンジックデータ取得の要件
Further resources	その他のリソース

 

 

 

・2025.02.04 Security considerations for edge devices

目次...

Introduction	序文
Commonly used edge devices	一般的に使用されるエッジデバイス
Considerations for edge devices	エッジデバイスに関する考慮事項
Threats to edge devices	エッジデバイスへの脅威
Examples of edge device compromises	エッジデバイスの侵害例
Mitigating threats to edge devices	エッジデバイスへの脅威の緩和
Recommendations for edge device manufacturers	エッジデバイス製造事業者に対する推奨事項
Additional information	追加情報
Footnotes	脚注

 

 

 

---

 

NISC側でも公表されていますね...

 

● NISC

・2025.02.04 [PDF] 国際文書「エッジデバイスのための緩和戦略」への共同署名について

---

報道資料

令和７年２月４日内閣官房 内閣サイバーセキュリティセンター

 国際文書「エッジデバイスのための緩和戦略」への共同署名について 

１．概要

令和７年２月４日、内閣サイバーセキュリティセンター（NISC）は、豪州通信情報局（ASD）豪州サイバーセキュリティセンター（ACSC）が策定した文

書「エッジデバイスのための緩和戦略」（“Mitigation strategies for edge devices”）（以下「本件文書」という。）の共同署名に加わり、本件文書を公表しました。仮訳は追って公表予定です。

本件文書に共同署名し協力機関として組織名を列記した国は、豪州、日本の他、米国、英国、カナダ、ニュージーランド、韓国、オランダ及びチェコの９か国です。

本件文書は、エッジデバイスを標的とした攻撃が増加していることを踏まえ、リスク緩和のための7つの戦略を提供するものです。重要インフラ事業者を始めとした我が国企業等が、本件文書で記載されたエッジデバイスに対するリスク緩和策を参照することは、我が国サイバーセキュリティ強化に大いに資することから、共同署名に加わることとしました。

今後も、引き続き、サイバーセキュリティ分野での国際連携の強化に努めてまいります。 

２．本件文書の概要

（1） 背景・目的

多くの悪意のあるアクターは、インターネットからアクセス可能なネットワーク等に対してスキャン・偵察を行い、パッチが適用されていない脆弱なエッジデバイスを侵害している。本文書は、サイバー脅威に対するセキュリティとレジリエンスの向上を目的にリスク緩和のための 7 つの戦略を提供する。

（2） ７つの戦略の概要

ア エッジを知る：ネットワークの周辺がどこにあるかを理解し、その周辺に配置されているエッジデバイスを検査するよう努める。サポートが終了したデバイスを特定し、それらを取り外し、交換する。

イ セキュア・バイ・デザイン機器を調達する：製品開発中にセキュア・バイ・デザインの原則に従っているメーカーからの調達を優先し、調達プロセスの一環として、メーカーに対し製品のセキュリティを明示的に要求する。

ウ セキュリティ強化のガイダンス、更新及びパッチを適用する：特定のベンダーがセキュリティを強化するガイダンスを利用していることを検証して実装する。不正利用から保護するため、エッジデバイスに対するセキュリティパッチと更新の迅速な適用を確保する。

エ 強力な認証を実装する：不正利用から保護するため、エッジデバイス全体において、フィッシングに対する耐性のある多要素認証等の認証を実装する。

オ 不要な機能とポートを無効にする：組織において使用されていない、エッジデバイスで利用可能なオプション機能を検査し、これを無効とすることで、機器の攻撃対象範囲を減少させる。また、開かれたポート数を減らす。

カ 管理インターフェイスを安全にする：管理インターフェイスをインターネットに直接接続しない。

キ 脅威検出のための監視を一元化する：インシデントの検出のため、イベントログの保存と完全性を保護する。ログへのアクセスの一元化を確保する。

３．関連リンク

 【原文リンク】

 

【本報道発表に関する問い合わせ先】

内閣官房 内閣サイバーセキュリティセンター  国際ユニット国際戦略班
Tel: 03-6277-7071 

---

 

 

米国はCISAから発表されています...

● CISA

・2025.02.04 CISA Partners with ASD’s ACSC, CCCS, NCSC-UK, and Other International and US Organizations to Release Guidance on Edge Devices

 

 

---

 

英国は、NCSCから発表されています...

● U.K. National Cyber Security Centre; NCSC

 

・2025.02.03 Cyber agencies unveil new guidelines to secure edge devices from increasing threat

 

 

---

 

カナダは、CCCSから発表されています...

● Canadian Centre for Cyber Security

・2025.02.04 Five Eyes publish series to sound alarm on cyber security threats to edge devices