セキュリティ インテリジェンス

お客様への推奨事項:ネットワークの安全性を確保するために

はじめに

2014 年 5 月 13 日、米国国家安全保障局(NSA)に関する新刊『暴露 スノーデンが私に託したファイル』(グレン・グリーンウォルド著)がリリースされました。この本には、米国のテクノロジー プロバイダーから顧客へテクノロジー製品を輸送する途中に NSA が介入して手を加えたとの疑惑が記載されており、これらの製品の中に、シスコのお客様を対象にした製品も含まれている可能性があります。

シスコはこのような疑惑をきわめて深刻に受け止め、弊社の最高経営責任者は米国政府の上層部に直接連絡を取り、その深い憂慮を表明しました。

お客様に対するシスコの取り組みは明確です。弊社は方針および実務として、米国政府を含めたいかなる政府とも、 弊社の製品を劣化させたり損なうような協力は行いません。この文書は、お客様がそのネットワークを評価、保護、管理できるように支援するために用意されています。

信頼できるシステム

シスコは信頼できるベンダーであるとの世界的な評判に誇りを持っており、その機器の整合性、安全性、信頼性を守るために業界最高水準の対策を講じています。

シスコの「信頼できるシステム」への取り組みは、製品開発において次の 4 つの主要な領域に重点を置いています。

  • シスコのセキュアな開発ライフサイクル:セキュアな製品開発を実現する、再現性のある全社的な方法論です。脆弱性のリスクを軽減し、製品の耐障害性を高めます。
  • トラスト アンカー テクノロジーの採用:お客様が正規のハードウェアとソフトウェアを使用していることを保証します。また、お客様のネットワークに対し強化された物理的なセキュリティ保護を提供します。
  • 次世代の暗号化の使用:セキュリティの向上、優れたパフォーマンス、世界標準との整合性を促進します。
  • 政府や国際的な標準化団体に加盟して認証方式を定義および導入します。シスコのお客様がセキュリティの客観的な評価基準を得られるようにします。

これらの他にも、シスコのサプライ チェーン全体で物理セキュリティと論理セキュリティを確保するための連携した取り組みと手順が含まれます。サプライ チェーンの各連接点では、次のいくつかを組み合わせて適用します。

  • 物理セキュリティ:コンポーネントから完成品までのトレーサビリティ、リアルタイム輸送追跡、セキュリティ チェックポイント、高価値マテリアルの分離、役割別のアクセス コントロール
  • 論理セキュリティ (ルールベース):暗号化データ伝送、マテリアル調整、データ破壊、不用品処理プロセス
  • セキュリティ テクノロジー:偽造防止チップ、テスト時の不変 ID の挿入、データ抽出テスト ベッド、改ざん防止ラベリングおよびパッケージング

シスコは、サプライヤが弊社のセキュリティ要件を順守しているかどうかについても、複数の方法で検証します(物理的な監査、情報セキュリティの評価、サプライヤ格付けへのセキュリティの組み込みなど)。この検証プロセスの狙いは、継続的なフィードバック、修正、および強化です。

また、Cisco Product Security Incident Response Team(PSIRT)は、世界中の弊社のお客様、セキュリティ調査員、CERT 組織との強固な関係を維持しながら、業界をリードするセキュリティ脆弱性公表プログラムも運用しています。

関連リソース

シスコの検討結果

シスコは、「June 2010 report from the head of the NSA's Access and Target Development department(NSA の Access and Target Development 部門の統括者による 2010 年 6 月のレポート)」が元になっていると言われている最近の疑惑について検討しました。この文書は NSA が「シスコ製のルータやサーバを横取りして手を加え、埋め込み型ビーコンのインストールによって大量のインターネット トラフィックを NSA のデータ格納庫に送られるようにしている」と主張しています。

シスコはこの情報を検討して次のように結論付けました。

  • 具体的なシスコ製品に関する情報が含まれていない
  • 禁止命令技術やインプラント技術に関する情報が含まれていない
  • セキュリティの新たな脆弱性が特定されず公表もされてはいない

お客様への推奨事項

公表されている一般的な情報に基づき、シスコではお客様が「ネットワーク インフラストラクチャの強化」および「ネットワーク テレメトリの監視と分析」という 2 つの領域に重点を置くことを推奨します。

ネットワーク インフラストラクチャの強化

推奨事項:

ネットワーク テレメトリの監視と分析

推奨事項:

  • 補完的な管理装置を導入して、付加価値の高いネットワーク セグメント、デバイス、および個人を重視し、ネットワーク デバイスの監視とトラフィックのモニタリングを有効にする
  • デバイスのタイプや予想されるネットワーク トラフィック(ネットワーク機器、ユーザ ワークステーション、サーバまたはワイヤレス ネットワークなど)に基づいて、ネットワーク セグメントと IP アドレス範囲を分類する
  • Cisco IOS NetFlow を導入してネットワークの各部から発生するトラフィック フローを把握し、予想されるトラフィックに対する評価を行えるようにする
  • AAA のログ情報を監視して、無許可のアクセスや予期しないアクセス、すべてのネットワーク デバイスに関するコマンドをチェックする
  • ネットワーク デバイスのイベント ログを監視して、予期しないネットワーク デバイスレベルの振舞いを特定する

これらのいくつかの取り組みに対するサポートは、シスコ アドバンスド サービス契約の一部として利用できます。さらに、次の対策を検討することも推奨します。

シスコのブランド保護プログラムは、シスコのテクノロジーへの投資を保護することに重点を置いています。ネットワークに偽造品や不要なリスクがもたらされるのを防ぐ方法については、ブランド保護の Web サイトを参照してください。

関連情報

ネットワークでの異常または疑わしい振舞いを発見した場合は、次の対応を推奨します。

シスコに報告された脆弱性関連のすべての情報は、Security Vulnerability プログラムに従って調査、管理、公表されます。

製品やネットワーク セキュリティに重点を置いたシスコ サービスに関する追加情報が必要な場合は、シスコ担当営業または Cisco PSIRT にご連絡ください。

関連リソース

変更履歴

リビジョン 日付 備考
Revision 1.0 2014 年 5 月 16 日 第 1 稿

 


この文書は、シスコ セキュリティ インテリジェンス オペレーションの一部です。

このドキュメントは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。このドキュメントの情報およびリンク先の資料の使用に関する責任の一切はそれらの使用者にあるものとします。シスコでは、任意の時点でこのドキュメントの変更または更新を行う権利を留保します。

トップに戻る

セキュリティ インテリジェンス オペレーション