はじめに
2026 年 6 月 17 日、Cisco は Cisco Identity Services Engine(ISE)および Cisco ISE Passive Identity Connector(ISE-PIC)に関するセキュリティアドバイザリ(cisco-sa-ise-multi-G5WP8vv)を公開しました。このアドバイザリには 2 件の脆弱性(CVE-2026-20181/CVE-2026-20190)が含まれ、デバイスの構成にかかわらず ISE/ISE-PIC が影響を受けます。
Cisco ISE はネットワークアクセス制御(NAC)の中核を担う製品であり、停止や侵害は組織全体のネットワーク認証に直接影響します。今回特に留意すべきは、Cisco が本脆弱性に対する回避策(ワークアラウンド)は存在しないと明言している点と、ISE 3.5 向けの正式パッチ(Patch 4)が 2026 年 8 月まで提供されない点です。すぐにパッチを適用できない環境では、提供までの間にどうリスクを下げるかが現実的な論点になります。
なお、Cisco ISE では 2026 年 4 月にも別の重大脆弱性が公開されています。概念やアップグレード手順の詳細は関連記事『Cisco ISE の重大脆弱性 CVE-2026-20147(CVSS 9.9)の概要と対策』もあわせて参照してください。
- 今回公開された 2 件の脆弱性(CVE-2026-20181/CVE-2026-20190)の概要と攻撃条件
- 影響を受けるバージョンと修正済みリリース、ISE 3.5 のパッチ提供時期
- 公式の回避策がない中で、パッチ適用までに取り得る暫定的な緩和策
- 修正パッチ適用の要点と適用後の確認ポイント
最も深刻なのは認証済み管理者による RCE(CVE-2026-20181、CVSS 9.1)で、悪用に成功すると OS の root 権限取得や、シングルノード構成での DoS(サービス停止)につながる可能性があります。もう一方の CVE-2026-20190(CVSS 7.5)は未認証で悪用でき、ハッシュ化された認証情報を含む機密情報の窃取につながります。正式な回避策はないため、影響バージョンでは速やかなパッチ適用を基本としつつ、それまでの間は管理インターフェースへのアクセス制限などの緩和策を併用することが推奨されます。
2 件の脆弱性の概要
今回のアドバイザリには、独立した 2 件の脆弱性が含まれます。一方を悪用するために、もう一方の悪用が前提となるわけではなく、それぞれ単独で成立します。また、あるリリースが片方の脆弱性の影響を受けても、もう片方の影響は受けないことがあります。
参考: Cisco Security Advisory(cisco-sa-ise-multi-G5WP8vv)
“The vulnerabilities are not dependent on one another.”
(これらの脆弱性は互いに依存していません。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multi-G5WP8vv
CVE-2026-20181: 認証済み RCE(CVSS 9.1)
| 項目 | 内容 |
|---|---|
| CVE ID | CVE-2026-20181 |
| Bug ID | CSCwt22913 |
| 種別 | リモートコード実行(RCE) |
| 深刻度(SIR) | Critical |
| CVSS Base Score | 9.1 |
| CVSS Vector | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| 攻撃条件 | 有効な管理者認証情報(authenticated, remote) |
| 対象製品 | Cisco ISE・Cisco ISE-PIC |
ユーザー入力の検証が不十分なことに起因する脆弱性です。攻撃者は細工した HTTP リクエストを送信することで、基盤となる OS 上で任意のコマンドを実行できる可能性があります。悪用に成功すると、まず OS のユーザーレベルのアクセスを取得し、その後 root 権限へ昇格する流れが想定されています。さらにシングルノード構成では、対象ノードが応答不能となり DoS 状態に陥る可能性があり、その間は未認証のエンドポイントがネットワークへアクセスできなくなります。
CVSS ベクターの PR:H が示すとおり、悪用には有効な管理者認証情報が必要です。完全な未認証攻撃ではないものの、S:C(スコープ変更)かつ機密性・完全性・可用性のすべてが High 評価のため、スコアは 9.1(Critical)と高くなっています。内部不正や認証情報の漏えいが起点となれば成立しうる点には留意が必要です。
CVE-2026-20190: 未認証の情報漏えい(CVSS 7.5)
| 項目 | 内容 |
|---|---|
| CVE ID | CVE-2026-20190 |
| Bug ID | CSCwt22936 |
| 種別 | 情報漏えい(Information Disclosure) |
| 深刻度(SIR) | High |
| CVSS Base Score | 7.5 |
| CVSS Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| 攻撃条件 | 未認証(PR:N)、リモート |
| 対象製品 | Cisco ISE・Cisco ISE-PIC |
リソースへアクセスする際の認可チェックが不適切なことに起因する脆弱性です。攻撃者は細工したトラフィックを送信することで、機密情報を閲覧できる可能性があります。閲覧対象にはハッシュ化された認証情報が含まれ、これが後続の攻撃に悪用されるおそれがあります。 CVSS スコアは 7.5(High)と CVE-2026-20181 より低いものの、PR:N が示すとおり認証なしで悪用できる点が大きな特徴です。後述のとおり、本脆弱性の影響は ISE 3.4/3.5 に限定されます。
2 つの脆弱性が連鎖するリスク
この 2 件は公式には独立した脆弱性ですが、ISE 3.4/3.5 のように両方の影響を受ける環境では、攻撃シナリオとして連鎖を想定しておく価値があります。具体的には、未認証で悪用できる CVE-2026-20190 でハッシュ化された認証情報を窃取し、それを足がかりに管理者権限を得たうえで、認証を要する CVE-2026-20181(RCE)へつなげる、という流れです。
個々のスコアだけを見ると CVE-2026-20190 は中程度ですが、未認証という入口の容易さと、漏えいする情報の性質(認証情報)を踏まえると、過小評価は避けることが推奨されます。
影響を受ける製品と修正済みリリース
今回の 2 件は、対象バージョンと修正済みリリースが CVE ごとに異なります。自組織で運用している ISE/ISE-PIC のバージョンとパッチレベルを確認し、以下の一覧と照合することが推奨されます(バージョン確認やパッチ適用の詳細手順は、前掲の関連記事『Cisco ISE の重大脆弱性 CVE-2026-20147(CVSS 9.9)の概要と対策』を参照してください)。
影響バージョンと修正パッチ一覧
| ISE/ISE-PIC リリース | CVE-2026-20181(RCE) | CVE-2026-20190(情報漏えい) |
|---|---|---|
| 3.3 より前 | 影響あり(修正リリースへ移行が必要) | 影響なし |
| 3.3 | 3.3 Patch 11 | 影響なし |
| 3.4 | 3.4 Patch 6 | 3.4 Patch 6 |
| 3.5 | 3.5 Patch 4(2026 年 8 月)またはホットパッチ | 3.5 Patch 3 |
ポイントは次のとおりです。
- CVE-2026-20181(RCE)は 3.3 以降が影響を受け、3.3 より前のバージョンにはパッチが提供されないため、修正済みリリースへの移行が必要です。なお ISE 3.1/3.2 は 2026 年 2 月に EOS/EOL が告知されており、いずれにせよ上位リリースへの移行が前提になります。
- CVE-2026-20190(情報漏えい)の影響は 3.4 と 3.5 に限定 され、3.3 以前は影響を受けません。未認証で悪用できる脆弱性のため、3.4/3.5 環境では優先度を上げて対応することが推奨されます。
- ISE-PIC はすでに販売終了(End-of-Sale)となっており、3.4 が最終サポートバージョンです。ISE-PIC 環境では 3.4 Patch 6 が対応の到達点になります。
ISE 3.5 は正式パッチが 8 月まで提供されない点に注意
3.5 環境では、CVE-2026-20190 は 3.5 Patch 3 で対応できる一方、CVE-2026-20181(CVSS 9.1 の RCE)の正式な修正は 3.5 Patch 4 まで持ち越され、その提供は 2026 年 8 月の予定 です。つまり最も深刻な脆弱性について、3.5 利用者は正式パッチを待つ間に空白期間が生じます。
この空白を埋める選択肢として、Cisco は 3.5 Patch 3 に対するホットパッチを要請ベースで提供しています。これについては後述します。いずれにせよ、3.5 環境では「正式パッチを待つ間に緩和策を併用する」という前提で計画を立てることが現実的です。
パッチ適用までの暫定対処・緩和策
ここからが本記事の主眼です。すぐにパッチを適用できない環境で、提供までの間にリスクをどう下げるかを整理します。
前提: 公式の回避策は存在しない
はじめに重要な前提として、Cisco は今回の脆弱性に対する回避策(ワークアラウンド)は存在しないと明言しています。したがって、以下に挙げるのは脆弱性そのものを無効化する手段ではなく、攻撃の到達経路を狭め、悪用の難易度と被害範囲を下げるための一般的なリスク低減策(緩和策) です。根本的な解決は修正パッチの適用である点を踏まえたうえで、補完的に検討してください。
管理インターフェースへのネットワークアクセス制限
CVE-2026-20181 は有効な管理者認証情報を前提とし、CVE-2026-20190 は細工したトラフィックの送達を前提とします。いずれも、攻撃者が ISE の管理インターフェースへネットワーク的に到達できることが起点になります。そこで、管理 GUI・CLI へアクセスできる送信元 IP を限定することで、到達経路を狭める効果が期待できます。
ISE には、管理ポータルや各種サービスへ接続できる IP アドレスを制限する IP Access Restriction 機能があります。許可リストに登録した IP(CIDR 形式)以外からの接続を遮断できます。
参考: Cisco(Configure IP Access Restriction in ISE)
“When enabled, ISE only allows connections from the specified IP addresses or ranges.”
(有効化すると、ISE は指定した IP アドレスまたは範囲からの接続のみを許可します。)
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/222103-configure-ip-access-restriction-in-ise.html
GUI での設定箇所の例(リリースにより階層が異なる場合があります):
Administration > System > Admin Access > Settings > AccessのIP Accessタブ- 「Allow only listed IP addresses to connect」を選択し、管理用端末・踏み台サーバーの IP を CIDR 形式で登録
この機能は管理 GUI(TCP 443)・CLI(SSH TCP 22)に加え、ERS API・Open API・pxGrid などの管理系サービスにも適用できます。一方で、ゲストや BYOD などのユーザー向けポータルは業務上開放したままにする必要があるため、本機能で保護できるのは管理系インターフェースに限られる点には留意してください。
なお、登録 IP を誤ると管理者自身が締め出される可能性があります。ISE には誤設定時に IP 制限を回避して復旧するためのセーフモード起動オプションが用意されているため、変更前に復旧手段を確認しておくことが推奨されます。
管理者権限と認証の強化
CVE-2026-20181 の悪用には管理者認証情報が必要です。裏を返せば、管理者アカウントが侵害されにくい状態を保つことが、そのまま緩和につながります。次のような設定の見直しが有効です。
- 管理者アカウントへの強固なパスワードポリシーの適用、またはクライアント証明書ベース認証への切り替え。
- RSA SecurID など外部 ID ストアと連携した多要素認証の利用。
- RBAC ポリシーによる最小権限の徹底(Super Admin や Read Only Admin の付与を必要最小限の担当者に絞る)。
- 管理 GUI のセッションタイムアウト短縮と、同時管理セッション数の制限。
特に、Read Only Admin のような一見影響の小さい権限であっても、今回の RCE の起点となりうる点は意識しておく価値があります。「読み取り専用だから安全」という前提を置かず、管理権限全体を棚卸しする ことが推奨されます。
監視・ログによる検知強化
現時点(2026 年 6 月)で、Cisco は本脆弱性の公開悪用や実際の攻撃を確認していないとしています。とはいえ、空白期間を緩和策で運用する以上、検知の網を強化しておくことが望まれます。
- 管理ポータルへのログイン試行・管理操作の監査ログ(
ise-psc.log等)を SIEM へ集約し、想定外の送信元 IP からのアクセスや不審な管理操作を可視化する。 - 管理者アカウントのログイン失敗・成功の異常な増加を監視する。
- 未認証で到達しうる経路(CVE-2026-20190 が想定する細工トラフィック)を踏まえ、管理系インターフェースへの予期しないアクセスをアラート対象に加える。
ホットパッチの要請(3.5 環境向け、TAC 経由)
前述のとおり、ISE 3.5 では CVE-2026-20181 の正式パッチ(Patch 4)が 2026 年 8 月まで提供されません。Cisco は 3.5 Patch 3 に対するホットパッチを要請ベースで提供しており、適用には Cisco Technical Assistance Center(TAC)への問い合わせが必要です。8 月の正式パッチを待てない環境では、TAC へホットパッチの提供可否を確認することが選択肢になります。
ホットパッチは正式パッチへの橋渡しという位置づけのため、適用後も Patch 4 が提供された段階で正式リリースへ移行する前提で運用することが推奨されます。
根本対処: 修正パッチの適用
恒久対策は修正済みリリースへのアップグレード(パッチ適用)です。ISE のパッチは累積型のため、途中のパッチを飛ばして対象パッチを直接適用できます。
参考: Cisco(Cisco ISE 3.4 Upgrade Guide: Install Latest Patch)
“Cisco ISE software patches are always cumulative.”
(Cisco ISE のソフトウェアパッチは常に累積型です。)
https://www.cisco.com/c/en/us/td/docs/security/ise/3-4/upgrade_guide/HTML/b_upgrade_install_patch_3_4.html
適用前の準備と適用手順の要点
詳細な手順は関連記事『Cisco ISE の重大脆弱性 CVE-2026-20147(CVSS 9.9)の概要と対策』にまとめているため、ここでは要点のみ整理します。
- 適用前の準備
-
- 構成データ(Configuration)と運用データ(Operational)のバックアップ取得(暗号化キーは確実に記録する)。
- 内部 CA ストアのエクスポート(設定バックアップには含まれないため別途取得する)。
- マルチノード構成では PAN 自動フェイルオーバーの無効化(
Administration > System > Deployment > PAN Failover)
- 適用手順
-
- パッチは Primary PAN から適用を開始し、その後各ノードへ展開される。
- GUI:
Administration > System > Maintenance > Patch Management > Installからアップロードして適用する。 - CLI(ノード順序を制御したい場合)は、Primary PAN から先に適用することが推奨される。
patch install <パッチバンドル名> <リポジトリ名> - 留意点
-
- 適用後、対象ノードは自動的に再起動する(数分かかる場合がある)。
- Primary PAN での適用が失敗すると、セカンダリノードへは展開されない。
- ノード間でパッチレベルが混在すると不安定化の要因となるため、全ノードを同一パッチレベルに揃える。
- シングルノード構成では適用中に認証サービスが一時停止するため、メンテナンスウィンドウ内での実施が推奨される。
3.5 環境で 8 月の正式パッチ(Patch 4)を待つ場合は、CVE-2026-20190 については 3.5 Patch 3 を先行適用しつつ、CVE-2026-20181 はホットパッチ(TAC 経由)または前述の緩和策で空白期間をしのぐ、という二段構えが現実的です。
適用後の確認ポイント
show versionでパッチバージョンが想定どおりか確認する。- GUI の Patch Management で対象パッチを選び、
Show Node Statusを実行して全ノードが Installed であることを確認する。 show application status iseで主要プロセス(Database Listener、ISE Indexing Engine、Admin 関連プロセス等)が running であることを確認する。- 検証端末で実際の認証・ポリシーが正常に機能するか確認する。
まとめ
2026 年 6 月 17 日に公開された Cisco ISE/ISE-PIC の 2 件の脆弱性は、認証済みの RCE と未認証の情報漏えいという、性質の異なる組み合わせです。回避策は提供されておらず、恒久対策は修正パッチの適用ですが、ISE 3.5 では正式パッチが 8 月まで持ち越されるため、それまでの緩和策の併用が現実的な論点になります。
- CVE-2026-20181 は認証済みの RCE で CVSS 9.1、root 昇格や DoS の可能性
- CVE-2026-20190 は未認証の情報漏えいで、ハッシュ化された認証情報が対象
- CVE-2026-20190 の影響は ISE 3.4/3.5 に限定され、3.3 以前は対象外
- 修正は 3.3 Patch 11、3.4 Patch 6、3.5 Patch 3/Patch 4 で提供
- ISE 3.5 の RCE 正式修正は 2026 年 8 月予定で、ホットパッチは要請対応
- 公式の回避策はなく、管理アクセス制限や認証強化は緩和策の位置づけ
- 恒久対策は修正済みリリースへのアップグレード
以上、最後までお読みいただきありがとうございました。
