連邦政府当局は、テクノロジー企業のミスが攻撃につながったとしても、それを批判しない。CSRBがMicrosoftを強く批判したことは例外であり、通常では考えられないものだった。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サンフランシスコでは、ベンダーの基礎的なエラーが顧客に影響を与えた場合であっても、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がベンダーを名指しで批判することは多くない。CISA担当者は「これらのミスを特定できるようにして、一般化して広い範囲の人々に伝えることでより大きな影響を与えられる」と主張している。
CISAのジェン・イースタリー氏(ディレクター)は、2024年5月7日(現地時間)に開催されたRSAのカンファレンスで「私たちは、何十年も前から破綻しているエコシステムを守るために、さまざまな手段を講じざるを得ない」と述べた。
「企業が明らかに国家安全保障を損なうようなことをした場合には、その企業を名指しで非難することも必要だが、同時にこれらの企業との真のパートナーシップも必要だ。私たちは規制機関でも法執行機関でもなく、パートナーと連携することを前提としたパートナーシップ機関である」(イースタリー氏)
サイバー安全審査委員会(CSRB)が2023年4月に発表した報告書は、2023年5月に中国に関連するグループが「Microsoft Exchange Online」のアカウントを侵害した件に言及しており(注1)、連邦政府が特定のベンダーのセキュリティの欠陥を指摘した一つの例だ。
しかしCSRBがMicrosoftを強く批判したことはあくまでも例外であり、通常では考えられないものだった。
国土安全保障省とCISAは2022年2月に、政府高官とサイバーセキュリティの専門家を交えた15人のメンバーからなる委員会を立ち上げた。2024年5月の初めには、退任したメンバーの後任として4人の民間企業幹部が委員会に加わった(注2)。
2024年4月のCSRBの報告書は、特定のベンダーに関する初めてのもので、過去2回の報告書は、「Apache Log4j」(Log4j)の脆弱(ぜいじゃく)性とランサムウェアグループ「Lapsus$」に焦点を当てたものだった(注3)(注4)。
CISAのエリック・ゴールドスタイン氏(サイバーセキュリティを担当するエグゼクティブアシスタントディレクター)は「CSRBの最新の報告書は、ベンダーのビジネス上の決定が顧客に不安定で有害な結果をもたらしたことを示している」と述べた。
「特定のベンダーによる安全性の低い決断が、他のベンダーにおいて一般化される場合も想定される」(ゴールドスタイン氏)
CISAの場合、これはセキュア・バイ・デザイン・アラート・シリーズという形で提供され(注5)、特定の脆弱性や悪質な活動を、より広く適用可能なメッセージやベンダーへの行動喚起に集約している。
「これらのアラートによって、CISAはセキュリティ全体の利益のために、企業が異なる意思決定をできると強調している。私たち、顧客のニーズを知るために、セキュア・バイ・デマンドのシグナルの生成に取り組んでいる。これは、問題の象徴となりうる単一のベンダーを指摘するよりも効果的な方法で、変革の拡大を促すことにつながる」(ゴールドスタイン氏)
CISAのリーダーたちはベンダーを公の場で批判したり、名指しで批判したりしない。その理由の一つには多くの企業がレガシーテクノロジーを抱え、セキュリティではなく市場投入のスピードや機能を優先した投資決定を実行していることがある。
「米国の行政機関全体への大規模な侵害や侵入の責任を負いたいと考えるCISO(最高情報セキュリティ責任者)はいない。彼らは安全な製品を作りたいと思っているが、セキュリティにあまり注意を払わなかった数十年にわたるビジネス上の決定に対処しているのだ」イースタリー氏)
(注1)Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
(注2)DHS, CISA Announce Membership Changes to the Cyber Safety Review Board(Homeland Security)
(注3)Log4j is far from over, cyber review board says(Cybersecurity Dive)
(注4)Cyber Safety Review Board to probe Lapsus$ ransomware spree(Cybersecurity Dive)
(注5)Secure by Design Alerts(CISA)
© Industry Dive. All rights reserved.