米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、連邦文民行政機関(FCEB)に対し、メーカーからのセキュリティアップデートが終了したエッジネットワーク機器を12〜18か月以内に撤去するよう命じる拘束的運用指令(BOD 26-02)を発行しました。国家支援型の脅威アクターがサポート切れの機器を攻撃経路として悪用するケースが増加しており、連邦ネットワーク全体のリスク低減を目指す重要な動きです。
この記事のポイント
- CISAが拘束的運用指令(BOD 26-02)を発行し、サポート切れエッジデバイスの撤去を義務化
- ファイアウォール、ルーター、スイッチ、ロードバランサーなど幅広いネットワーク機器が対象
- 3か月以内の棚卸しから24か月以内のライフサイクル管理プロセス確立まで、段階的なタイムラインを設定
エッジデバイスとは何か
CISAが定義する「エッジデバイス」とは、ネットワークの境界に位置し、トラフィックのルーティングや特権アクセスを持つ機器の総称です。具体的には、ロードバランサー、ファイアウォール、ルーター、スイッチ、無線アクセスポイント、ネットワークセキュリティアプライアンス、IoTエッジデバイス、ソフトウェア定義ネットワーク(SDN)、その他の物理的・仮想的なネットワークコンポーネントが含まれます。これらの機器はネットワークの最前線に配置されるため、新たに発見された脆弱性や既知の脆弱性を悪用されるリスクが特に高いとされています。企業・組織のネットワークにおいても同様の機器が多数使われており、この指令の考え方は民間にも十分応用可能です。
なぜ今この指令が出されたのか
CISAは「国家支援型の持続的脅威アクターが、ベンダーからのアップデートを受けられなくなったハードウェアおよびソフトウェア、つまりサポート切れのエッジデバイスを悪用するケースが増加している」と明言しています。サポートが終了した機器は、新たな脆弱性が発見されてもパッチが提供されないため、攻撃者にとって格好の侵入経路となります。特に国家レベルの高度な攻撃グループは、こうしたサポート切れ機器をネットワーク侵入の「優先的な経路」として利用する傾向が強まっています。技術的負債(テクニカルデット)を削減し、攻撃面を最小化するためには、機器のライフサイクル管理を組織全体で徹底する必要があるという認識が背景にあります。
BOD 26-02の具体的な要件とタイムライン
この拘束的運用指令では、以下の段階的なアクションが求められています。
| 期限 | 要件 |
|---|---|
| 即時 | ベンダーサポート中のエッジデバイスで、サポート切れソフトウェアが動作しているものをすべてアップデート |
| 3か月以内 | すべてのエッジデバイスを棚卸しし、サポート切れの機器を特定。結果をCISAに報告 |
| 12か月以内 | CISAが公開する「エッジデバイスリスト」に掲載されたサポート切れ機器を廃止 |
| 18か月以内 | リストに掲載されていないものも含め、特定されたすべてのサポート切れ機器を廃止 |
| 24か月以内 | 継続的なデバイス発見のためのライフサイクル管理プロセスを確立 |
このように「まず現状把握 → 段階的に撤去 → 恒久的な管理体制構築」という流れが明確に示されています。単なる一時的な対応ではなく、組織として持続的にデバイスを管理する仕組みの構築が最終目標です。
CISAによる支援策
CISAは対象機関の対応を支援するために、「サポート切れエッジデバイスリスト」を開発・公開しています。このリストは製品名、バージョン番号、サポート終了日を含む予備的なリポジトリとして機能し、各機関がコンプライアンスを達成するための参照資料として活用できます。今後もリストは更新される見込みで、新たにサポートが終了する製品が随時追加されていくと考えられます。
知っておくと便利なTips
- 民間企業にも応用可能: BOD 26-02は連邦機関向けの指令ですが、エッジデバイスのライフサイクル管理の考え方はあらゆる組織に適用できます。自社のネットワーク機器でサポート切れのものがないか定期的に確認しましょう
- 資産管理の棚卸しが最初の一歩: まずはネットワーク上のすべてのエッジデバイスを可視化し、各機器のサポート期限を把握することが対策の出発点です
- ベンダーのEOL情報を定期チェック: 主要ネットワーク機器ベンダー(Cisco、Fortinet、Palo Alto Networksなど)はEOL(End of Life)スケジュールを公開しています。これらを定期的に確認する運用を取り入れましょう
まとめ
CISAが発行したBOD 26-02は、サポート切れのエッジネットワーク機器が国家支援型の高度な脅威アクターによって積極的に狙われている現実を踏まえた、極めて実践的な指令です。ファイアウォール、ルーター、スイッチといったネットワーク境界の機器は、組織の防御の最前線であると同時に、放置すれば最大の弱点にもなります。連邦機関だけでなく、すべての組織がこの指令を参考に自社のエッジデバイス管理を見直すべきでしょう。技術的負債を計画的に解消し、継続的なライフサイクル管理プロセスを構築することが、サイバーセキュリティの基盤強化につながります。
📎 元記事: https://thehackernews.com/2026/02/cisa-orders-removal-of-unsupported-edge.html
コメント