米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2019年から2024年の間に発行された10件の緊急サイバーセキュリティ指令(ED)を正式に廃止したと発表しました。対象には、ED 19-01(DNSインフラストラクチャの改ざん対策)やED 20-03(Windows DNSサーバーの緩和策)などが含まれます。
これらの指令は連邦政府機関を対象としたものですが、Web3セキュリティ専門誌の視点からは、この「廃止」のプロセス自体が重要です。ブロックチェーン技術が基盤となるWeb3においても、その上で稼働するノードインフラ、APIゲートウェイ、開発環境は、従来のOSやネットワークプロトコルに依存しています。CISAが指令をクローズすることは、対象の脆弱性に対して必要な緩和策が広範に適用され、リスクが許容レベルまで低下したことを意味します。
Web3プロジェクトは、スマートコントラクトの監査だけでなく、基盤となるインフラストラクチャの継続的なリスク管理において、このCISAの規律を模範とすべきです。緊急のセキュリティアラート(例えば、クリティカルなNPMパッケージのサプライチェーン攻撃や、特定のRPCクライアントの脆弱性)に対応する際、単にパッチを適用しただけでなく、その対策が恒久的に有効であるかを確認し、正式なリスククローズプロセスを経て、対応のライフサイクルを完結させる必要があります。基礎的なDNSやWindows環境の脆弱性が、Web3サービスのフロントエンド乗っ取りやノード停止に繋がる事例は後を絶たず、伝統的なサイバーセキュリティの規律がWeb3の安全性に不可欠であることを示しています。
Source: CISA Retires 10 Emergency Cybersecurity Directives Issued Between 2019 and 2024
コメント