復元力の高いインフラストラクチャ

デジタル基盤の強化

強固な未来に向けたデフォルトセキュリティの再定義

重要なインフラストラクチャやネットワークプロバイダーを執拗に狙う大規模な攻撃には、新しい防御標準が必要です。シスコは、デフォルトでセキュリティを確保し、設計段階でセキュリティを確保するという基本原則に基づきプロアクティブな強化策を図り、将来の脅威に備えることで、インフラストラクチャの強化に取り組んでいます。

概要

お客様にとっての意味

シスコ製品全体で重要なセキュリティ強化を実施します。一部の製品については、お客様による対応が必要となる場合があります。シスコは、この移行を可能な限りシームレスかつ中断なく実施するよう取り組んでいます。今後も本ページを更新し、最新のガイダンスとリソースを追加していきます。以下に参考になる情報を記載します。

  • プロアクティブなセキュリティ強化: シスコデバイスのセキュリティ態勢を強化するため、デフォルト設定の変更、安全でない機能の廃止(最終的には削除)、新たなセキュリティ機能の導入を進めています。これらの変更は、お客様のネットワーク インフラストラクチャを強化し、攻撃者のアクティビティに対する可視性を向上させることを目的としています。
  • お客様の行動が重要: シスコでは、すべてのお客様に、セキュリティ対策を速やかに強化し、安全でない機能の使用を中止することを推奨しています。これによりセキュリティ態勢が強化され、これらの重要な機能強化に対応できるようになります。
  • 包括的なガイダンス:本ページでは、これらの変更に関する最新情報、それらを段階的に適用するための戦略、実施すべき具体的なアクションをご紹介します。

インフラストラクチャの強化

今すぐ攻撃対象領域を減らす

復元力の高いインフラインフラストラクチャの基本的な考え方は、使用されていない機能をデフォルトで無効にし(お客様が必要な機能を明示的に有効にする必要があります)、これによって攻撃対象領域を減らすことです。セキュリティ強化ガイドでは、これらの変更を効果的に実装するために必要となる詳細な推奨事項とベストプラクティスをご覧いただけます。また、シスコのガイドには、主要なセキュリティ機能を有効にするためのベストプラクティス(デフォルトでまだ有効化されていない、または完全に有効化できない場合)に関する詳細も記載されています。これにより、機密データの保護と、攻撃に対するデバイスの復元力を強化できます。

これらのアクションはお客様が今すぐ実施可能かつ実施すべき対策であり、ネットワークを保護するとともに、本取り組みの一環として提供される変更に備えるものです。

プロアクティブなセキュリティ

パッチ適用、アップデート、LDOS の準備

シスコでは、最も堅牢なセキュリティを提供する最新のソフトウェアリリースを実行することを強く推奨しています。脆弱性サポート終了日(EoVSS)が近づいている、またはこれを過ぎている製品を実行しないことが極めて重要です。この期限を過ぎると、新たなセキュリティ修正が提供されなくなるため、システムが重大かつ全面的なリスクに晒される恐れがあります。シスコのサポート終了日(LDOS)は、サポートまたはアップデートの提供が終了する最終日です。これらの重要な日付に備え、プロアクティブにパッチを適用し、製品ライフサイクルを注意深く管理することが、保護された信頼性の高い環境を維持するために不可欠です。

シスコは、明確に定義されたポリシーに基づき、透明性のある脆弱性開示を行っています。セキュリティアドバイザリ通知に登録し、速やかにパッチを適用するようお客様に推奨しています。アドバイザリに加え、推奨リリースの最新情報をプロアクティブに把握しておくことが、セキュリティ態勢を強化する上で重要となります。

機能の廃止

安全でない機能の段階的廃止

攻撃対象領域を減らし、機密データを保護するため、安全でない機能とプロトコルは特定されたシスコ製品から段階的に廃止され、最終的に削除されます。中断を最小限に抑えるため、段階的な削除戦略は以下の通り 3 段階の機能リリースで実施される予定です。

  1. 警告:安全でない主要機能を設定する際に警告が表示されます。これらの機能の使用を直ちに中止することが強く推奨されます。
  2. 制限:以降のリリースでは、安全でない主要機能はデフォルトで無効化されるか、これを有効にするには管理者による明示的なアクションが必要となります。既存の展開環境は引き続き機能しますが、新しくインストールした場合は意図的に有効化する必要があります。プラットフォームの一部の機能には制限フェーズが設けられず、数リリースにわたり警告のみが表示されてから削除される場合があります。
  3. 削除:廃止予定の機能は、将来のソフトウェアリリースから完全に削除される予定です。削除されるタイミングは、ユーザーへの影響や導入状況によって異なります(たとえば、SNMPv2 といった広く採用されている機能は、使用頻度の低い機能よりも段階的に廃止されます)。

安全なデフォルト設定

リスクの軽減、セキュリティ態勢の強化

シスコは、攻撃対象領域を大幅に縮小し、セキュリティ態勢を強化するため、より安全なデフォルト設定を適用します。これには、Webサーバー、SNMP、ゲストシェルなどのサービスをデフォルトで無効化することが含まれます。

変更内容とお客様の役割について:

  • 必要なサービスのみを有効化: シスコの強化ガイドで詳述されているように、本当に必要なサービスのみを有効にし、定義済みネットワークへの管理トラフィックを制限するなど、適切な保護策を適用します。直ちにセキュリティを確保するためにも、これらの対策を今すぐ実装することが不可欠です。また、将来のリリースでこれらの安全なデフォルト設定が適用された際に、アップグレードを合理化こともできます。
  • ベストプラクティスの適用:強力な暗号化キーを生成すること、ログイン情報に堅牢な暗号化を使用すること、エクスプロイトされる可能のある機能(プロキシARP など)を無効にすることが不可欠です。今後のリリースでは、これらやその他の重要なベストプラクティスがデフォルトで適用され、セキュリティレベルの低いオプション(脆弱な暗号化方式など)は段階的に削除されます。
  • 中断の最小化:デフォルト設定の変更は主に新規インストールに適用されます。アップグレードおよびダウングレードに関する考慮事項は詳細に文書化され、コミュニケーション計画を通じて影響範囲が通知されます。
  • 今すぐ準備:最も効果的な準備方法は、シスコの強化ガイドに記載されたガイダンスを今すぐ積極的に実践することです。

本ページは、製品ポートフォリオ全体でこれらの変更がリリースされると随時更新されるため、これらの変更に向けて準備する十分な時間を確保できます。

 

ロギングとモニタリング

可視性の向上による迅速な対応

お客様が攻撃者を検出し、それらに対応できるよう、本取り組みでは各種製品のロギング機能とモニタリング機能が大幅に強化されます。これにより、豊富なテレメトリが生成されるため、脅威検出、フォレンジック分析、コンプライアンス監査が強化されます。

主な機能拡張は次のとおりです。

  • デフォルトのロギングの変更:セキュリティ上重要なイベント(例:AAA やロギング設定などの重要な設定変更)のデフォルト設定と新しいメッセージの調整。

  • ベストプラクティスに関する警告:セキュリティ上のベストプラクティスが遵守されていない場合(例:安全でない RADIUS/TACACS+ や認証されていない NTP)の新規アラートログ。 

  • 可視性の向上:ゲストシェル環境および低レベルの OS イベントに関するインサイトの強化。

  • 安全な時刻同期:NTP を保護するための機能強化(例:Network Time Security(NTS)のサポート)による、効果的なロギングに欠かせない正確なタイムスタンプの実現。

デバイス認証のセキュリティ確保

アクセス管理の強化

TACACS+ や RADIUS などの認証プロトコルを標的とした攻撃が増加しています。MD5 や事前共有キーに依存する従来の実装は脆弱です。これに対抗するため、シスコはデバイス認証セキュリティを大幅に強化しています

  • 認証プロトコルの最新化:シスコのポートフォリオ全体に TLS 1.3 を介した TACACS+ のサポートを追加し、RADIUS トラフィックを保護するため TLS または DTLS (RadSec)の使用を推進します。これらの推進により脆弱性が解消され、運用セキュリティが強化されます。

  • デバイスアクセスの強化:新機能として、SSH 経由の FIDO2 サポートと、TACACS+ での SSH 公開キー認証機能を追加。これにより、大規模環境で SSH 公開キーを利用できます。