CISAがインシデント報告に向けたオンラインポータルを立ち上げ どう役立つのか?:Cybersecurity Dive
CISAはサイバー攻撃や脆弱性、データ侵害を自主的に報告するためのオンラインポータルを立ち上げた。このポータルはインシデントレポートの保存と更新、提出されたレポートの同僚やクライアントとの共有、レポートの検索などを可能とする。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年8月30日(現地時間、以下同)に、サイバー攻撃や脆弱(ぜいじゃく)性、データ侵害を自主的に報告するためのオンラインポータルを立ち上げた(注1)。
CISAが立ち上げたインシデント報告ポータルはどう役立つのか?
CISAのポータルはインシデントレポートの保存と更新、提出されたレポートの同僚やクライアントとの共有、レポートの検索などをはじめとする強化された機能とコラボレーションを提供する安全なプラットフォームである(注2)。ユーザーは、ポータルを通じてCISAと非公式に議論が可能となる。
CISAでサイバーセキュリティを担当するジェフ・グリーン氏(エグゼクティブアシスタントディレクター)は、声明で次のように述べた。
「サイバー攻撃やインシデントを経験している組織は、自社の利益および広範なコミュニティーに対する支援のために、それらの情報を報告すべきだ。CISAと政府のパートナーは、対応と復旧を支援するための独自のリソースとツールを持っているが、インシデントの存在を知らなければ支援できない」
このポータルは脅威情報の共有プロセスを合理化し、より迅速で負担の少ないものにしようとするCISAの継続的な取り組みの一環だ。
2020年のSolarWindsに対するマルウェア「Sunburst」攻撃や(注3)、2021年のColonial Pipelineに対するランサムウェア攻撃以来(注4)、連邦当局は民間企業による協力を促すよう働きかけている。企業が脅威情報の共有に消極的であれば、脆弱性を抱える他の組織への支援が難しくなるからだ。
保険サービスを提供するGallagher Bassettで、サイバー保険の請求に関する実務を担当するキルステン・ミケルソン氏によると、サイバーインシデントの自主的な報告は、政府が脅威をより適切な形で理解するのを助けるだけでなく、悪質な活動の標的となった企業にも直接的な利益をもたらす可能性があるという。
ミケルソン氏は、電子メールで「これは、現在の脅威状況についてリアルタイムのデータを迅速かつ効率的に取得し、攻撃的な立場を取るための最善の方法だ」と述べた。
「同ポータルが自主的な報告を合理化し、組織が複数の政府機関に報告書を送らずにインシデントを一度だけ報告すれば済むようになると理想だ」(ミケルソン氏)
CISAによるとインシデントレポートには侵害や攻撃の主要な詳細である以下のような情報を記録する必要があるという。
- インシデントが発見された日時
- 攻撃者の戦術やテクニック、手順
- 攻撃または侵害がどのように発見されたかの説明
- 攻撃のためにどのような脆弱性が悪用されたか
- マルウェアのハッシュ値やIPアドレス、URL、フィッシングメールなど、侵害の技術的な指標や形跡。マルウェアのサンプルや疑わしいファイルをアップロードすることも可能
Gartnerのカテル・ティーレマン氏(バイスプレジデントアナリスト)によると、同ポータルはインシデント報告の合理化には役立つかもしれないが、サイバー開示要件の冗長性に関するより広範な懸念を解決するには不十分だという(注5)。
「ポータルとその機能強化は、複雑な問題の一部にすぎない。他の問題には、サイバーインシデントの自主的な報告を促進するための適切なインセンティブの設定や、現在増加している義務との調和が含まれる」(ティーレマン氏)
(注1)CISA Launches New Portal to Improve Cyber Reporting(CISA)
(注2)CISA Services Portal(CISA Services Portal)
(注3)SolarWinds Orion flaw linked to government cyberattacks(Cybersecurity Dive)
(注4)Colonial CEO says ransomware hackers exploited legacy VPN(Cybersecurity Dive)
(注5)White House wants to harmonize the breadth of cybersecurity regulations(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
やっぱり安全を求めるなら「C」や「C++」ではなく「Rust」 Androidが取り組みを紹介
GoogleのAndroidチームはファームウェアのセキュリティを高めるためにメモリセーフなプログラミング言語であるRustの導入を紹介した。具体的にはどう活用しているのだろうか。Snowflake「サイバー攻撃の責任は顧客にある」 強気の主張の背景にあるもの
Snowflakeは2024年4月に100以上の顧客環境を襲った一連のサイバー攻撃について「責任は当社ではなく顧客にある」と主張している。強気の姿勢の裏にはどのような主張があるのだろうか。進む顧客の“CrowdStrike離れ” 競合他社SentinelOneの需要拡大を後押しか
CrowdStrikeによるソフトウェアアップデートの不具合を原因とした世界的なIT障害発生後、顧客はリスク分散に向けてベンダーの分散を図っている。これは競合他社のSentinelOneやPalo Alto Networksにとって有利に働く可能性がある。半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。