CISA、連邦機関に“サポート切れのエッジ機器”一掃を命令——90日で可視化、12カ月で交換を完了させる計画です

今日の深掘りポイント

• サポート切れの境界機器は「パッチの当たらない外向きサーバ」と同義で、攻撃者の初期侵入点かつ不可視の横展開ハブになりやすい資産です。
• CISAは「90日で在庫可視化、12カ月で交換」という運用指令を提示し、境界面の技術的負債をライフサイクルで断ち切る方向に舵を切りました。
• これは米連邦ネットワークの話にとどまらず、ベンダーのサポート・販売政策、同盟国の調達方針、そして民間の更新計画やRMA体制に波及します。
• 現場目線では、資産台帳の整備、EoL/EoSの突合、セグメンテーションの強化、段階的な置き換え（ブルー/グリーン移行）とRMA準備が“今すぐ手をつけられる”実務です。
• 緊急性と実行可能性が高く、組織の「境界をどう運用し続けるか」という根源的な問いへの答えを迫るテーマです。

はじめに

なぜ今、サポート切れのエッジ機器が槍玉に上がるのか。理由は単純で、外部に面し、更新のたびに業務停止リスクが伴い、EDRのようなホスト可視化も弱い層だからです。ここが一度破られると、正規VPNやロードバランサーを踏み台に、認証情報の搾取やネットワーク内のステルスな移動が成立します。CISAの運用指令は、この「外に面したまま取り残された機器」という長年の構造的リスクに、期限とやり切るための運用要件を与えた点に価値があるのだと見ます。

本稿では、報道で明らかになっている事実を整理し、その背景と現場への示唆を掘り下げます。米連邦の要件は日本企業や自治体に法的には及びませんが、調達市場やサプライヤのサポート方針を通じて、確実に波紋を広げます。境界の負債は「待っていても小さくならない」。その前提に立って、攻撃面縮小の設計図を描き直す好機と捉えたいところです。

深掘り詳細

事実整理：CISAの運用指令が求めること

• 外部に面したエッジ機器（ロードバランサー、ファイアウォール、VPN、ルーター、スイッチなど）について、各機関は90日以内に状況把握（在庫・状態の可視化）を完了することが求められています。
• サポートが終了した（EoS/EoL）機器は、原則として12カ月以内に交換・撤去することが要請されています。
• CISAは期限遵守を監視し、実行計画の策定と進捗報告を求める見込みです。目的は、長年固定化した境界面のリスクを可視化し、計画的に縮小することにあります。
• 以上は公開報道に基づく要旨で、最終要件や対象範囲の定義は公式文書の公開内容に従う必要があります。実務に落とす際は、正式な指令文を一次情報として精査することが前提になります。

出典（報道）：Help Net Security – CISA orders US federal agencies to replace unsupported edge devices (2026-02-06) です。

編集部のインサイト：なぜ「期限を切る」ことが本質的なのか

• 技術的負債の“塊”を外向きに抱えることのコストは、調達費や更改工数よりも、可視化されない侵害リスクと平均滞留時間の増加として跳ね返ります。境界機器はしばしばログが不十分で、検知・遡及の困難さが被害規模を押し広げます。
• 「在庫を90日で可視化」する要件は、単に棚卸しではなく、EoL/EoS、露出（インターネット面、管理プレーン開放）、脆弱性状態、テレメトリ可用性といったリスク属性をメタデータとして紐づける努力を意味します。これが以降の交換優先順位を定量的に決める基盤になります。
• 市場波及として、ベンダーはEoL/EoSの告知や延長サポートの提供ポリシー、交換プログラム（RMA/トレードイン）、コンフィグ移行ツールの整備を強化せざるを得ません。結果として、民間も更新の“やり切り”コストが相対的に下がる可能性があります。
• 日本の現場への翻訳としては、次の3点が肝です。①資産・EoLの単一台帳（Single Source of Truth）化、②例外（例：工場や拠点の特殊機器）の時間制限付きリスク受容プロセス、③交換完了までの補償的コントロールの即時適用です。期限があるからこそ、優先順位が明確になり、組織としての合意形成が進みます。

脅威シナリオと影響

以下は、境界機器が侵害された場合に想定しうるシナリオの仮説です。MITRE ATT&CKの観点で、初期侵入から横展開、持続化、データ流出までの流れを意識した整理です。

• シナリオ1：未サポートVPN装置の前認証RCEを突かれる

  • 初期侵入: Exploit Public-Facing Application（T1190）、External Remote Services（T1133）
  • 権限拡大/横展開: Valid Accounts（T1078）、Remote Services（T1021）、Network Service Discovery（T1046）
  • 防御回避: Impair Defenses（T1562）、Obfuscated/Compromised Binariesの導入や不正モジュールのロード
  • 影響: 認証情報・セッションの窃取により、社内SaaSやADへの連鎖侵害、広範なデータアクセスが成立します。

• シナリオ2：ロードバランサの設定改ざんによるAiTM化

  • 初期侵入: T1190
  • コレクション/中間者: Adversary-in-the-Middle（T1557）、Network Sniffing（T1040）
  • 指揮統制/流出: Application Layer Protocol（T1071）、Exfiltration Over C2 Channel（T1041）
  • 影響: セッショントークンやクッキーの奪取、ゼロトラストの境界条件を骨抜きにし、認可済みの顔をして侵入が継続します。

• シナリオ3：ネットワーク機器への持続化と可視性の剥奪

  • 持続化: Boot or Logon Autostart Execution（T1547）に類する設定改変、あるいはファームウェア改変の試行（Modify System Imageに相当）
  • 防御回避: T1562（ログ無効化、転送停止、ACL改変）
  • 横断的影響: フィルタやNACの「信頼の根」を汚染し、上位の監視・検知をバイパスします。

ビジネス影響として、境界機器の停止を伴う復旧は「ネットワーク全体の計画外停止」を招きやすく、RTO/RPOの悪化、顧客へのSLA違反、規制当局への報告コストの増大に直結します。EDRが置けない層での侵害は、根本原因分析（RCA）にも時間がかかり、経営への説明責任が重くのしかかります。

セキュリティ担当者のアクション

CISAの動きは、「いますぐ始め、期限を切ってやり切る」ための現場ガイドとして読み替えるのが得策です。以下は12カ月で完遂するための実務リストです。

• 0〜30日：資産・露出・サポート状態の“収集口”をつくる

  • 既存台帳、バックアップコンフィグ、SNMP/NetConf、クラウド管理コンソール、外部スキャン結果を統合し、機器一覧を一元化します。
  • 各機器にメタ属性（インターネット面、管理プレーン到達性、ベンダー/OS/バージョン、EoL/EoS日付、サポート契約有無、テレメトリ有無）を付与します。
  • 「インターネット面×サポート切れ×管理プレーン露出」の三条件一致を最優先キューに置きます。

• 30〜90日：EoL/EoS突合と優先順位付け

  • ベンダーのEoL/EoS告知と突合し、交換期限（内規）を機器ごとに設定します。
  • ブラウン/グリーンや並走切替（blue/green）などの移行方式を設備ごとに選定し、ダウンタイムの設計とリハーサル計画を固めます。
  • 交換が間に合わない設備には「時限付き例外」を発行し、補償的コントロール（下記）を即時適用します。

• 即日〜交換完了までの補償的コントロール

  • 管理プレーンをジャンプホスト経由のみに限定し、IP許可リストと多要素認証を必須化します。
  • 外向き機器にWAF/IPSやレートリミット、仮想パッチを適用し、脆弱性露出期間を短縮します。
  • ログ/テレメトリ（syslog、NetFlow/IPFIX、API統計）をSIEMに集約し、異常な管理ログイン、設定改変、予期せぬ再起動を監視します。
  • ASMP/ASM（外部攻撃面管理）で公開面の変化を継続監視し、サプライヤ側の緊急アドバイザリに自動トリアージをかけます。

• 90〜180日：置き換えの実行計画とRMA準備

  • 交換ターゲットを波状で分割し、ピーク時間を避けたメンテナンス窓を全社で調整します。
  • Golden Configとテンプレート化を進め、ゼロタッチ/事前プロビジョニングで現地作業を最小化します。
  • RMA/スパアプール（同型予備）の整備、リードタイムの見積もり、トレードイン・延長サポートの比較検討を並走させます。

• 180〜360日：移行と検証

  • 並走切替でバックアウト手順を用意し、セッション維持や証明書連携、アイデンティティ連携（SAML/OIDC/TACACS+/RADIUS）を重点検証します。
  • 交換後はベースライン・ハッシュや設定差分の継続監視をセットし、逸脱時のアラートを自動化します。

• ガバナンスとKPI

  • 「エッジ機器EoL/EoS標準」を制定し、サポート切れのインターネット面機器は“原則禁止・時限例外のみ”と明文化します。
  • KPI例：インターネット面×サポート切れ機器の残数と削減率、交換までの平均日数、例外期限超過ゼロ、重大変更のリハーサル実施率、バックアウト成功率、管理プレーン到達源の縮小率、などで“やり切り”を見える化します。

• 検知・対応の運用連携（MITRE対応）

  • T1190/T1133（外向き脆弱性・外部リモートサービス）に対する攻撃試行の検知ユースケースをSIEM/SOARに実装します。
  • T1078（正規アカウント悪用）を前提に、VPN/管理プレーンの異常なログインパターン（地理・時間帯・デバイス指紋）をモデル化します。
  • T1562（防御回避）を想定し、ログ停止・転送失敗・設定改変の相関アラートを用意します。

最後に、ニュース全体の“温度感”としては、緊急性と実行可能性が高く、信頼性の高い政策ドライバがついたテーマだと評価します。現場の優先順位を動かすには十分な材料が揃い、やるべきことは明確です。境界の技術的負債に期限を与え、組織として「更新し続けられる境界」へ設計変更する好機と捉えるのが得策です。

参考情報

• CISA orders US federal agencies to replace unsupported edge devices – Help Net Security (2026-02-06)