米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が2026年2月5日に発出したBinding Operational Directive(BOD)26-02は、連邦政府機関に対してサポート終了(EOS)エッジデバイスの徹底的な排除を義務付ける歴史的な指令である。この指令は、APT(Advanced Persistent Threat)グループによるEOSルーター、VPN、ファイアウォールの組織的悪用を背景に、90日以内のインベントリ作成と1年以内の完全置換を求めている。本記事では、BOD 26-02の技術的要件、APTによる攻撃実態、そして民間企業にも波及するネットワーク境界の構造的再構築について分析する。

BOD 26-02の技術的要件と法的拘束力

BOD 26-02は、連邦情報セキュリティマネジメント法(FISMA)に基づく法的拘束力を持つ指令であり、すべての連邦文民行政機関(FCEB: Federal Civilian Executive Branch)に適用される。指令の中核となる要件は以下の3点である。

第一に、発出から90日以内(2026年5月6日まで)に、すべてのエッジデバイス(ルーター、スイッチ、ファイアウォール、VPNゲートウェイ、ロードバランサー、プロキシサーバー等)のインベントリを作成し、各デバイスのベンダー、モデル、ファームウェアバージョン、EOS日付を記録することが求められる。これには、運用中のデバイスだけでなく、スタンバイ構成やディザスタリカバリサイトのデバイスも含まれる。

第二に、発出から1年以内(2027年2月5日まで)に、EOSに達しているすべてのエッジデバイスを、現行サポート対象の製品に置換しなければならない。CISAは「現行サポート対象」を、ベンダーがセキュリティパッチ、ファームウェア更新、技術サポートを提供している製品と定義している。単なるハードウェア保証やベストエフォートサポートは「現行サポート」には該当しない。

第三に、各機関は四半期ごとにCISAに対して進捗報告を提出し、置換が困難なケースについては詳細な例外申請(ミッションクリティカル性、技術的制約、予算制約の証明を含む)を行う必要がある。例外が認められた場合でも、ネットワークセグメンテーション、追加の監視、補償的制御の実装が義務付けられる。

APTによるEOSデバイス悪用の実態

BOD 26-02の背景には、中国、ロシア、イラン、北朝鮮のAPTグループによるEOSエッジデバイスの組織的悪用がある。2023年から2025年にかけて、複数の連邦機関がEOSルーターとVPN機器を経由した侵入を受け、CISAは2025年12月の非公開ブリーフィングで「EOSエッジデバイスが国家安全保障上の構造的脆弱性となっている」と警告していた。

特に深刻なのは、Cisco、Juniper、Palo Alto Networks、Fortinet等の主要ベンダーのEOS製品に対する既知脆弱性(CVE)の悪用である。APT41(中国)は、EOSに達したCisco ASA 5500シリーズのファイアウォールに対してCVE-2020-3259(認証バイパス)を利用し、複数の連邦機関ネットワークへの初期侵入を成功させた。ベンダーは2020年にパッチを公開したが、EOS製品にはパッチが提供されず、管理者は置換以外の対策を取れなかった。

APT28(ロシア、Fancy Bear)は、EOSに達したJuniper NetScreen VPN機器に対してCVE-2015-7755(管理アクセス脆弱性)を利用し、長期的な持続的アクセスを確立した。この脆弱性は2015年に発見されたが、EOSに達した機器には修正ファームウェアが提供されず、攻撃者は10年近くにわたって同一の脆弱性を利用し続けた。

さらに、APTグループはEOSデバイスのゼロデイ脆弱性を積極的に開発・保有している。CISAの分析によれば、EOSデバイスに対するゼロデイ攻撃の平均検出時間は、現行サポート製品の4.2倍に達する。これは、ベンダーがEOS製品に対してセキュリティ監視、脅威インテリジェンス、異常検知の優先度を下げるためである。

エッジデバイスライフサイクル管理の設計原則

BOD 26-02は、連邦機関に対して単なるデバイス置換を求めるだけでなく、エッジデバイスライフサイクル全体の構造的再設計を求めている。CISAが推奨する設計原則は、民間企業にも適用可能な普遍的なフレームワークとして注目されている。

第一の原則は、「EOS予測と計画的置換」である。組織は、すべてのエッジデバイスについてベンダーのEOSロードマップを継続的に監視し、EOS到達の12〜18ヶ月前に置換プロジェクトを開始すべきである。これには、予算確保、アーキテクチャ設計、調達、テスト、移行、旧機器の安全な廃棄が含まれる。CISAは、EOS到達後の緊急置換は、セキュリティリスクだけでなく、運用コスト、ダウンタイムリスクの観点からも非効率であると指摘している。

第二の原則は、「ベンダー多様化とベンダーロックイン回避」である。単一ベンダーへの依存は、そのベンダーのサポートポリシー変更、買収、事業撤退によって組織全体のセキュリティ態勢が影響を受けるリスクを生む。CISAは、クリティカルなネットワーク境界において、異なるベンダーの製品を組み合わせた多層防御アーキテクチャを推奨している。

第三の原則は、「Zero Trust前提のエッジアーキテクチャ」である。従来のネットワーク境界セキュリティは、信頼できる内部ネットワークと信頼できない外部ネットワークの二分法に基づいていたが、APTによる侵入、内部脅威、クラウド移行によって、この前提は崩壊している。CISAは、エッジデバイスを「信頼の境界」ではなく「検証の境界」として設計し、すべてのトラフィックに対して継続的な認証、認可、暗号化、監視を適用することを求めている。

第四の原則は、「自動化された継続的監視」である。組織は、すべてのエッジデバイスに対してファームウェアバージョン、設定、ログ、トラフィックパターンを自動的に収集し、SIEM(Security Information and Event Management)、SOAR(Security Orchestration, Automation and Response)と統合すべきである。手動のインベントリ管理、四半期ごとの脆弱性スキャンは、APTの活動速度に対して不十分である。

民間企業への波及と業界別影響

BOD 26-02は連邦機関にのみ適用される指令だが、その影響は民間企業にも急速に波及している。特に、連邦政府と取引する防衛産業、金融機関、医療機関、重要インフラ事業者は、サプライチェーンセキュリティ要件の一環として、同等のEOSデバイス管理を求められる可能性が高い。

国防総省(DoD)は既に、国防連邦調達規則補足(DFARS)252.204-7012の更新を検討しており、防衛産業基盤(DIB)企業に対してEOSエッジデバイスの四半期報告を義務付ける可能性が高い。これは、DIB企業が標的型攻撃の主要な侵入経路となっているためである。

金融業界では、金融業界規制当局(FINRA)、通貨監督庁(OCC)が、BOD 26-02に類似したガイダンスの発行を検討している。特に、証券取引、決済システムを支えるエッジデバイスのEOS管理は、システミックリスクの観点から優先度が高い。

医療業界では、医療保険の相互運用性と説明責任に関する法律(HIPAA)のセキュリティルールにおいて、EOSデバイスが「合理的かつ適切な」セキュリティ対策に該当しないとする解釈が広がっている。医療機関がEOSエッジデバイス経由でPHI(Protected Health Information)の侵害を受けた場合、民事制裁金、訴訟リスクが大幅に増大する。

技術的課題と実装のロードマップ

BOD 26-02の実装には、技術的、組織的、予算的に複数の課題が存在する。CISAは、これらの課題に対する段階的アプローチを推奨している。

最大の技術的課題は、レガシーシステムとの互換性である。特に、産業制御システム(ICS)、SCADA、医療機器等のOT(Operational Technology)環境では、特定のエッジデバイスに依存した通信プロトコル、認証方式が使用されている。これらのシステムは、エッジデバイスの置換によって動作不能になるリスクがあり、詳細な互換性テスト、場合によってはOTシステム自体の更新が必要となる。

組織的課題としては、IT部門とOT部門の連携不足がある。多くの組織では、ITネットワークとOTネットワークが別々の部門によって管理されており、エッジデバイスのインベントリさえ統一されていない。BOD 26-02の実装には、組織横断的なガバナンス、統一されたCMDB(Configuration Management Database)、共通のリスク管理フレームワークが必要である。

予算的課題については、CISAは連邦議会に対して追加予算の要求を支援しているが、多くの機関では既存の予算枠内での対応が求められている。CISAは、エッジデバイス置換の優先順位付けフレームワークを提供しており、外部接続されたデバイス、クリティカルデータへのアクセスを持つデバイスを最優先とし、内部セグメント、非クリティカルシステムのデバイスを後続フェーズとする段階的アプローチを推奨している。

FAQ

BOD 26-02は民間企業にも適用されるのか?

BOD 26-02は連邦文民行政機関(FCEB)にのみ法的拘束力を持つが、連邦政府と契約する民間企業は、サプライチェーンセキュリティ要件やコンプライアンス基準の一環として同等の対策を求められる可能性が高い。特に防衛産業、金融機関、医療機関は注意が必要である。

EOS到達予定のデバイスはどのように確認すればよいか?

各ベンダーの公式サイトにEOS/EOL(End of Life)ロードマップが公開されている。Cisco、Juniper、Palo Alto Networks等の主要ベンダーは、製品ごとのEOS日付、後継製品を明示している。また、CISAはKnown Exploited Vulnerabilities(KEV)カタログにEOS製品の脆弱性も追加しており、これを参照することで優先度を判断できる。

EOSデバイスを即座に置換できない場合の補償的制御は何か?

CISAは、ネットワークセグメンテーション(EOSデバイスを隔離されたVLANに配置)、追加の監視(SIEM統合、異常検知)、多要素認証(MFA)の強制、トラフィックの暗号化、定期的なペネトレーションテストを補償的制御として推奨している。ただし、これらは一時的な措置であり、根本的な置換を代替するものではない。

クラウド移行によってBOD 26-02の要件を回避できるか?

クラウドサービス(AWS、Azure、GCP等)に移行した場合でも、組織の責任範囲にあるエッジデバイス(Direct Connect、ExpressRoute等の専用線接続機器、ハイブリッドクラウドゲートウェイ)にはBOD 26-02が適用される。また、IaaS環境で組織が管理する仮想ファイアウォール、VPN等もスコープに含まれる。

BOD 26-02違反の場合、どのようなペナルティがあるのか?

BOD 26-02はFISMAに基づく法的義務であり、違反した連邦機関は、OMB(Office of Management and Budget)による予算凍結、GAO(Government Accountability Office)による監査、議会への報告対象となる。また、違反によってインシデントが発生した場合、機関責任者の個人的な説明責任が問われる可能性がある。

参考文献