Bay Area Tech Blog #16
Security Incident管理に対する需要が増す?
Solarwindsを利用した攻撃の問題を受けて米国議会が法整備に向けて動き出しているようです。世の中にはいろいろなセキュリティ事故 (インシデント) 管理に関連する製品がありますが、法整備の動きに合わせてまた活発になるのではないかと予想しています。
インシデント対応には大きく4つのフェーズがあります。事故の「検知」、発生した事故に対する「初動対応」、事故発生前の状態に戻す「復旧」、そしてインシデントの再発防止と記録作成をする「事後対応」がそれにあたります。
米国議会での法整備は、インシデントに対する報告を義務化させようとしているので、検知した後のインシデントをしっかりと管理し、報告できるようなかたちにすることが重要になりそうです。
SolarWinds問題とは?
昨年12月に発覚したSolarWinds問題として知られるマルウェア活動は、ロシアとつながりがあるハッカー集団がSolarwindsのITモニタリングプラットフォーム「Orion」にマルウェアを仕込んだと報道されています。これは、FireEyeのセキュリティ専門家が発見し最初に公表しました。また、Microsoftは同社のブログの中でハッカー集団がOrion経由でMicrosoftの社内ネットワークに侵入し、内部プロジェクトのソースコードの一部にアクセスしたことを明らかにしています。
この問題はサプライチェーンに関する脆弱性が明らかになったという点で大きく取り沙汰されました。つまり、3rd Partyの製品を使うことによって、ハッカーが巧妙に自組織の内部に侵入してくる可能性を否定できなくなったということです。
米国では法整備の動きがある?
しかし、ここでもう1つ米国内で議論になっているのは、企業がこの種の攻撃を報告する方法や報告の有無を規定する統一された連邦基準がないことです。前述のとおり、FireEyeやMicrosoftといった企業が自社のサーバーに侵入があったことに気がつき、報道機関や一般市民に報告したのですが、これは法律上の義務ではありません。そのため米国議会では、このような問題に対する法整備をしようという動きがあると言われています。もちろんこれは一筋縄ではいかないようでして、以下2つの観点で争点となっています。
報告の義務はどのような企業に課すべきなのか
報告ではどのような情報を出させる必要があるのか
前者の「1. 報告の義務はどのような企業に課すべきなのか」は非常に重要で、かつ、定義が難しいと思います。切り口次第では、例えばSolarWindsも規制の対象にならない可能性も出てきます。
実際にどのように定義されていくかまだ明確になっていないようですが、Wall Street JournalでCybersecurityのレポーターを務めるDavid Uberti氏は、Biden政権がこの問題に関する大統領令を出す準備さえしていると報道しています。
企業側はハッキングの事実を公表したくない?
2020年12月13日にFireEyeがSolarWindsのソフトウェアを通じたサプライチェーン攻撃を発表し、その後、SolarWindsの株価は事件発生前に比べて大幅に下落しました (上図の株価チャート参照)。また、ハッキングが公表されて以来、ロシアのハッカーと思われる別の集団から狙われるようになったそうです。
このような財政面、セキュリティ面から企業はたとえハッキングの事実を把握できたとしても公表することを躊躇するのではないでしょうか。
また、SolarWindsは過去に顧客リストを掲載していましたが現在は削除しています。Fortune 500の内425社以上、米通信会社上位10社全て、5つの米軍支部、米会計事務所上位5社、世界中の大学、などが利用していたそうですが、彼らがどこまでSolarWinds問題を報告したかは定かではありません。
まとめ
いかがでしたかでしょうか?SolarWinds問題は日本ではそれほど大きく報道されていないかと思いますが、米国ではかなり問題視されバイデン政権も動き出しています。個人的には法整備に合わせて、インシデントの検知や、初動対応できるように管理する製品およびスタートアップに注目していきたいと思っています。