5/17~5/22までRSAコンフェランスが開催されていますが、パネルディスカッションでは米国では、データ侵害を報告する法律の整備が議論された様です。www.infosecurity-magazine.com
5月18日に開催された2021RSA Conferenceで講演した専門家パネルによると、今日米国でセキュリティ違反が発生した場合、遵守する必要のある単一の当局または国内違反報告法はありませんが、近い将来変更される可能性があります。
法律事務所Debevoise&PlimptonLLPのパートナーであるLukeDemboskyは、米国における違反報告の現状は、管轄によって異なる法律とポリシーのパッチワークであるとコメントしました。彼は、個々の州が、データ侵害が発生した場合に、組織が州当局および影響を受ける個人に報告する必要があるかどうかを決定するルールを設定していると述べました。
「州の境界を越えてビジネスを行う企業にとって、さまざまな潜在的な違反通知義務のすべてを把握することは非常に困難です」とデンボスキー氏は述べています。
国家データ侵害報告法を推進する(太陽)風
米国司法省の国家安全保障局の副検事総長であるアダム・ヒッキー氏は、近年、複数のセクターにわたる重要なインフラストラクチャに影響を与えた多くの注目を集める違反があったとコメントしました。単一のレポートフレームワークがなければ、連邦政府は必要なすべてのデータと洞察を常に取得できるとは限りません。
「何が起こっているのかを把握するのは難しい」とヒッキー氏は語った。
パネルで議論された最近の注目を集めるデータ漏えい事件の中には、SolarWindsのデータ漏えいがありました。FBIの副局長であるTonyaUgoretzは、国の情報漏えい報告法のように、特定のギャップを埋めるための法律が求められることが多いと、その地盤のうねりは起こらなかった何かによって引き起こされるとコメントしました。行動を起こさなかった人。それはSolarWinds事件で起こったことではありません。
Ugoretz氏によると、SolarWinds事件では、セキュリティベンダーのFireEyeから迅速に報告され、それ自体が侵害の被害者でした。
「彼ら(ファイアアイ)は正しいことをした」とウゴレスは言った。「彼らがこの非常に洗練された侵入の犠牲者であることに気づいた直後に、彼らは政府に連絡を取りました。」
(InfoSecurity Magazine記事より引用)※機械翻訳
キタきつねの所感
海外の国際会議は(本業の関係で)過去、色々な所に行かせて貰いましたが、RSAコンフェランスは実は行った事がありません。今年はコロナ禍を受け、バーチャル会議となった様ですが、セキュリティに携わる方は、私も含めてですが、こうした大きな国際会議の動向もきちんと把握するべきかと思います。
RSAコンフェランスの記事はいくつか出てましたが、この記事が一番気になりました。この議論の背景には、今年に入ってからの米国(全世界)での立て続けの大型インシデントが影響しています。SolarWinds、Microsoft Exchangeサーバ、ランサム(米国パイプライン)、Codecov・・・2021年に入ってから話題となった”重大インシデント”は枚挙にいとまがありません。
そしてRSACの有識者パネラーの方々は、「情報共有」が不足していて、全体像が見えないケースを挙げ、個社の対応やISAC的な業界内での情報共有を超えて、更に上位レイヤーである国家レベルでのデータ侵害報告が「必須」であるという意見が多かった様です。
この切っ掛けとなった(最良事例となった)のは、SolarWinds(Sunburst)の不正アクセスで最初に声を挙げた「FireEye」のケースです。
業界にも多大なインパクトを持つFireEyeが声を上げた、もっと言えばセキュリティのプロ中のプロであるFireEyeも侵害を受ける程に危ない攻撃なのだと公表した事で、米国政府が迅速に行動する事ができたのは間違いありません。
ヒッキー氏は、FireEyeが手を挙げて「これは私のネットワークで起こっている」と言ったおかげで、連邦政府はリスクを調査して制限するために迅速に行動することができたと述べました。
(InfoSecurity Magazine記事より引用)※機械翻訳
未だ被害の全容が見えませんが、仮にFireEye自身が被害者である事を”隠ぺい”して、あるいは、それを理由にアラートを出すのが遅れていたとすれば、日本企業も相当侵害が進んでいた可能性が考えられます。
私も1企業の従業員の立場でもありますのでよく分かりますが、仮にインシデントが発生したとしても、諸々のビジネスへの影響を恐れて「あまり明らかにしたくない」国内企業は多いかと思います。
コロニカル・パイプライン社(重要インフラ)へのDarkSideランサムの攻撃を受けて国内でも大きな話題となり、それに関連してだと思いますが、日本の名だたる企業がランサム被害を受けた事もいくつも報告されていますが、ほとんどのケースで、ランサム側の発表より後にリリースが出されています。
好意的に言えば「調査中だった」のだろうと思いますが、ハッカー側も”成果”をプレス発表する時代ですので、インシデントが発生した事を、なかなか隠し切れない時代になりつつあります。
同時期に他の企業が同じ脆弱性(攻撃手法)によって被害を受けている、あるいは被害を受ける前兆がある、そうした同時多発攻撃が増えている現状を考えると、1企業にとっては最良の選択肢かも知れない「インシデントの隠蔽」は、国レベルで考えた場合には、攻撃側の全容が見えずに対応が後手に回るリスクは、米国の直近事例を考えるとかなり怖いものがあります。
つまりこのテーマは、日本でも考えていかなければいけないものだと思います。
そしてその検討において、「北風」の施策となるのでは無く、企業や組織が積極的に情報公開をしたくなる「太陽」の施策になる様に設計していく事についても議論が深まると良いなと思います。
もはやサイバー攻撃は「当たり前」になりつつあり、APT攻撃まで含めて考えれば、例えセキュリティ対策に優れている日本企業・組織であっても、今日、大きなインシデントを発生させても何ら不思議ではありません。
インシデントを公表した企業が、大きな瑕疵があった部分は別にして、インシデント発表=さらし者になるのではなく、どうすれば良くなるのか、どうすれば同じ被害を受けずにすむのか、そうした前向きな成果(攻撃傾向のレポート発信)に繋げていく、それこそ米国が現在目指している情報収集の姿なのかと思います。
本題とはまったく関係がありませんが、特に若手の方は、セキュリティの分野に関わらず、海外の国際会議(展示会)に行く機会があれば「無理を言ってでも」手を挙げる事をお勧めします。
海外の展示会は、日本の大きな会議とは全く雰囲気が違う事が多いかと思います。海外出席者の方が”同窓会”的な情報交換を大切にしている姿や、プレゼの違いにも勉強になる事は多々ありますし、そこで経験した事は、無形の財産になるかと思います。
但し(普通は)遊びに行く訳ではありませんので、情報収集、商談、関係者とのコネクション等、海外出張を許可する組織側から期待される事も大きいので大変かとは思いますが、そこは仕方がありません。
準備をしても想定外の”失敗”は多いかも知れません。とは言え、例えば英語で多少恥をかいたとしても、それを次にどう活かすのかを考えれば良いだけです。
情報収集力に問題があれば、他の出席者と仲良くなって情報交換(答え合わせ)をする事も1つですし、翻訳ツール等を駆使して後から理解を深める、といった事も有効だったりします。
セキュリティの世界も、攻撃側がグローバルですので、国内に閉じこもっていては古い(遅れた)情報しか入手できません。
RSAコンフェランス等の大きな国際会議では、海外ソース等を中心に取材記事も出ますので、そうした記事を追いかけるのも良いですし、コロナ禍であるが故に”無料”国際会議もいくつもありますので、自分から情報を取りに行く方が(出来れば海外に直接)、1人でも多くなると良いなと思います。
(参考まで、他のRASC記事)
#RSAC: Anne Neuberger Sets Out Biden Administration’s Plan to Modernize US Cyber-defenses - Infosecurity Magazine
What a Year It's Been: RSA 2021 Embraces 'Resilience' | Threatpost
#RSAC: McAfee CTO Calls for Risk Decisions Based on Science Not Headlines - Infosecurity Magazine
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
