米当局は、特に大規模組織でよく見られるセキュリティ上のネットワーク構成ミスのランキングのトップ10を発表した。セキュリティー担当部署は少人数対応であり、デフォルト使用に陥っていることがあるそうです。

トップ10は以下の通り。

1. ソフトウェアとアプリケーションがデフォルト構成のまま
2. ユーザー権限と管理者権限の分離が不適切
3. 内部ネットワークの監視が不十分
4. ネットワークのセグメンテーションの欠如
5. 不十分なパッチ管理
6. システムアクセス制御のバイパス
7. 多要素認証 (MFA) 方式が弱いか、構成が間違っている
8. ネットワーク共有とサービスに対するアクセス制御リスト (ACL) が不十分
9. 認証情報の管理が不十分
10. 無制限のコード実行

当局は対策を講じるよう強く訴えている。