Microsoftはあくまで例外 連邦政府がベンダーを名指しで批判しない理由:Cybersecurity Dive
連邦政府当局は、テクノロジー企業のミスが攻撃につながったとしても、それを批判しない。CSRBがMicrosoftを強く批判したことは例外であり、通常では考えられないものだった。
サンフランシスコでは、ベンダーの基礎的なエラーが顧客に影響を与えた場合であっても、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がベンダーを名指しで批判することは多くない。CISA担当者は「これらのミスを特定できるようにして、一般化して広い範囲の人々に伝えることでより大きな影響を与えられる」と主張している。
Microsoftはあくまで例外 連邦政府がベンダーを名指しで批判しない理由
CISAのジェン・イースタリー氏(ディレクター)は、2024年5月7日(現地時間)に開催されたRSAのカンファレンスで「私たちは、何十年も前から破綻しているエコシステムを守るために、さまざまな手段を講じざるを得ない」と述べた。
「企業が明らかに国家安全保障を損なうようなことをした場合には、その企業を名指しで非難することも必要だが、同時にこれらの企業との真のパートナーシップも必要だ。私たちは規制機関でも法執行機関でもなく、パートナーと連携することを前提としたパートナーシップ機関である」(イースタリー氏)
サイバー安全審査委員会(CSRB)が2023年4月に発表した報告書は、2023年5月に中国に関連するグループが「Microsoft Exchange Online」のアカウントを侵害した件に言及しており(注1)、連邦政府が特定のベンダーのセキュリティの欠陥を指摘した一つの例だ。
しかしCSRBがMicrosoftを強く批判したことはあくまでも例外であり、通常では考えられないものだった。
国土安全保障省とCISAは2022年2月に、政府高官とサイバーセキュリティの専門家を交えた15人のメンバーからなる委員会を立ち上げた。2024年5月の初めには、退任したメンバーの後任として4人の民間企業幹部が委員会に加わった(注2)。
2024年4月のCSRBの報告書は、特定のベンダーに関する初めてのもので、過去2回の報告書は、「Apache Log4j」(Log4j)の脆弱(ぜいじゃく)性とランサムウェアグループ「Lapsus$」に焦点を当てたものだった(注3)(注4)。
CISAのエリック・ゴールドスタイン氏(サイバーセキュリティを担当するエグゼクティブアシスタントディレクター)は「CSRBの最新の報告書は、ベンダーのビジネス上の決定が顧客に不安定で有害な結果をもたらしたことを示している」と述べた。
「特定のベンダーによる安全性の低い決断が、他のベンダーにおいて一般化される場合も想定される」(ゴールドスタイン氏)
CISAの場合、これはセキュア・バイ・デザイン・アラート・シリーズという形で提供され(注5)、特定の脆弱性や悪質な活動を、より広く適用可能なメッセージやベンダーへの行動喚起に集約している。
「これらのアラートによって、CISAはセキュリティ全体の利益のために、企業が異なる意思決定をできると強調している。私たち、顧客のニーズを知るために、セキュア・バイ・デマンドのシグナルの生成に取り組んでいる。これは、問題の象徴となりうる単一のベンダーを指摘するよりも効果的な方法で、変革の拡大を促すことにつながる」(ゴールドスタイン氏)
CISAのリーダーたちはベンダーを公の場で批判したり、名指しで批判したりしない。その理由の一つには多くの企業がレガシーテクノロジーを抱え、セキュリティではなく市場投入のスピードや機能を優先した投資決定を実行していることがある。
「米国の行政機関全体への大規模な侵害や侵入の責任を負いたいと考えるCISO(最高情報セキュリティ責任者)はいない。彼らは安全な製品を作りたいと思っているが、セキュリティにあまり注意を払わなかった数十年にわたるビジネス上の決定に対処しているのだ」イースタリー氏)
(注1)Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
(注2)DHS, CISA Announce Membership Changes to the Cyber Safety Review Board(Homeland Security)
(注3)Log4j is far from over, cyber review board says(Cybersecurity Dive)
(注4)Cyber Safety Review Board to probe Lapsus$ ransomware spree(Cybersecurity Dive)
(注5)Secure by Design Alerts(CISA)
関連記事
- 日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。 - 2023年に最も狙われたリモートデスクトップツールは?
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。 - 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。 - GoogleがMicrosoftを痛烈批判 Google Workspaceの優位性を主張
Googleは新しいホワイトペーパーでMicrosoftのセキュリティ問題を指摘し、Google Workspaceのセキュリティとプライバシー基準の優位性を強調した。これにはCSRBの報告も引用されており、サイバー安全性を推進する内容となっている。
© Industry Dive. All rights reserved.