CISA新指令BOD 26-02　企業が急ぐべきエッジ機器の対策とは放置されがちなルーターやVPN機器が国家レベルの脅威に直結する現実

CISAがサポート切れエッジ機器の排除を義務化――BOD 26-02の衝撃

サポートが切れたルーターやVPN機器を放置していませんか。日本企業も今すぐエッジ機器の棚卸と更新計画に着手すべきです。2026年2月5日、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は拘束力のある指令「BOD 26-02」を発出しました。ファイアウォール、ルーター、VPN装置、スイッチなど、ベンダーからセキュリティ更新が提供されなくなった機器を「即座に対処すべき重大リスク」と位置づけ、連邦政府機関に棚卸・更新・廃止を義務付ける内容です。CISAは民間企業にも同様の対策を強く推奨しています。

なぜ「サポート切れエッジ機器」が狙われるのか

エッジ機器はネットワーク境界に配置され、インターネットから直接アクセス可能な位置にあります。CISAは「エッジ機器は組織ネットワークへの広範なアクセスとID管理システムとの統合により、攻撃者にとって魅力的な標的である」と警告しています。サポート終了後はセキュリティパッチが提供されないため、新たな脆弱性がそのまま放置されます。

CISAは国家に紐づく高度な攻撃者による「広範な攻撃キャンペーン」を確認していると公表しています。攻撃者はこれらの機器を初期侵入の足がかりとするだけでなく、内部ネットワークやID基盤へ横展開する踏み台として利用しています。たった1台の古いルーターが、組織全体のゼロトラスト戦略を形骸化させかねないのです。

日本国内でもVPN装置の脆弱性を突いたランサムウェア被害は後を絶ちません。サポート切れ機器は攻撃者にとって「鍵のかかっていない裏口」と同義です。

BOD 26-02が求める対応タイムライン

即時〜3か月：棚卸と緊急更新

ベンダーサポートが有効な機器でサポート切れソフトウェアを使用している場合は、即座にサポート対象バージョンへ更新することが求められます。発出から3か月以内には、CISAが提供する「EOSエッジデバイスリスト」に基づいてすべてのサポート切れ機器を棚卸・報告しなければなりません。

12〜24か月：廃止・自動検出体制の確立

12か月以内にサポート切れ機器の廃止を開始し、18か月以内にネットワークから完全に排除することが義務付けられています。さらに24か月以内にはエッジ機器の継続的な自動検出プロセスを確立し、サポート期限が近づく機器を事前に把握する体制を整えます。CISAはこの段階的アプローチについて「予算を複数年度にまたがって計画できるよう配慮した」と説明しています。

御社が今すぐ取り組むべき5つのアクション

この指令は米連邦政府向けですが、CISAは「すべての組織がこの指針を採用すべき」と明言しています。IT担当者が少ない中小企業では、すべてを一度に対応するのは現実的ではありません。まずは優先度の高い項目から段階的に着手しましょう。

第一に、ネットワーク資産の完全な棚卸です。ファイアウォール、ルーター、VPN装置、スイッチ、無線アクセスポイントなど、境界に位置するすべての機器を洗い出し、各機器のサポート期限（EOS/EOL）を確認します。

第二に、サポート切れ機器の特定と優先順位付けです。インターネットへの露出度やネットワーク上の重要度に応じてリスク評価を行い、対応順を決定します。

第三に、更新・リプレース計画の策定です。サポート切れ機器を後継機種に置き換えるための予算とスケジュールを確保します。すぐに置き換えられない場合は、第四のアクションとしてネットワーク分離を実施し、侵害時の被害範囲を最小限に抑えます。

第五に、継続的な監視体制の構築です。エッジ機器のトラフィックを監視し、不審な通信を検知できる仕組みを整えることで、万が一の侵害にも早期対応が可能になります。

まとめ：エッジ機器の「放置」はもう許されない

BOD 26-02は、サポート切れエッジ機器の放置が「容認できないリスク」をもたらすと明言しました。国家レベルの攻撃者がこれらの機器を標的にしている今、IT資産のライフサイクル管理は経営課題です。まずは自社ネットワーク境界の棚卸から始め、計画的な更新を進めましょう。

GXOでは、セキュリティ事業としてSIEM/SOARの導入やSOC運用支援、インシデント対応まで180社以上の支援実績があり、エッジ機器を含むネットワーク全体のセキュリティ強化を上流から下流までサポートしています。「まず何から手をつければいいかわからない」という方も、棚卸の進め方から優先順位の整理、更新計画の策定まで、ぜひGXOへお気軽にご相談ください。