米国 CISA ITサービスプロバイダーのセキュリティ対策の評価
こんにちは、丸山満彦です。
CISAがITサービスプロバイダーのセキュリティ対策の評価についての報道をしていますね。。。
● CISA
・2021.09.02 GOING BEYOND: ASSESSING SECURITY PRACTICES OF IT SERVICE PROVIDERS
| GOING BEYOND: ASSESSING SECURITY PRACTICES OF IT SERVICE PROVIDERS | 越えていく:ITサービスプロバイダーのセキュリティ対策の評価 |
| No business or organization wants to be the victim of a cybersecurity attack. Adversaries target organizations of all sizes and in every industry, so cyber security is not just a large business problem. Many times, they try to breach an organization’s systems through weak spots or entry points outside the direct control of organizations, such as via third-party vendors. Therefore, it’s no longer enough for organizations to focus on securing their own data and information systems; they must also encourage enhanced cybersecurity practices of their managed service providers (MSPs). | どんな企業や組織も、サイバーセキュリティ攻撃の被害に遭いたくはありません。敵対者は、あらゆる規模、あらゆる業界の組織を標的にしているため、サイバーセキュリティは大企業だけの問題ではありません。多くの場合、敵対者は、組織の弱点や、サードパーティ・ベンダーを経由するなど、組織が直接管理できない侵入口から組織のシステムに侵入しようとします。そのため、企業は、自社のデータや情報システムの安全性を確保するだけでは不十分であり、マネージドサービスプロバイダー(MSP)のサイバーセキュリティ対策の強化を促す必要があります。 |
| To help mitigate these risks, the Cybersecurity and Infrastructure Security Agency (CISA) released a new CISA Insights titled, Risk Considerations for Managed Service Provider Customers. This resource provides a framework that government and private sector organizations (to include small and medium-sized businesses) outsourcing some level of IT support to MSPs can use to better mitigate against third-party risk. The framework includes best practices and considerations from the National Institute of Standards and Technology and other authoritative sources with guidance geared to the three main organizational levels that play a role in reducing overall risk: 1) senior executives and boards of directors; 2) procurement professionals; and 3) network administrators, systems administrators, and front-line cybersecurity staff. | このようなリスクを軽減するために、サイバーセキュリティ・インフラストラクチャ・セキュリティ機関(CISA)は、「Risk Considerations for Managed Service Provider Customers」と題したCISA Insightsを発表しました。この資料は、MSPにある程度のITサポートを委託している政府機関や民間企業(中小企業を含む)が、第三者のリスクをよりよく軽減するために使用できるフレームワークを提供しています。このフレームワークには、米国国立標準技術研究所(National Institute of Standards and Technology)やその他の権威ある情報源からのベストプラクティスや考察が含まれており、全体的なリスクを軽減する役割を担う3つの主要な組織レベル(1)上級経営者および取締役会、(2)調達担当者、(3)ネットワーク管理者、システム管理者、および第一線のサイバーセキュリティ担当者に向けたガイダンスとなっています。 |
| The bottom line is that outsourcing IT services provides both increased benefits and risk to an organization. Key responsible individuals should take a step back to look at the security practices in place across their enterprise to answer: | IT サービスを外部に委託することは、 組織にとってメリットとリスクの両方をもたらします。主となる責任者は、 一歩下がって、 企業全体で実施されているセキュリ ティ対策を確認し、 答えを出す必要があります。 |
| ・Who is responsible for security and operations when outsourcing IT services to an MSP? | ・MSPにITサービスを委託する場合、セキュリティとオペレーションの責任者は誰か? |
| ・What are the most critical assets that we must protect and how do we protect them? | ・守らなければならない最も重要な資産は何で、どのようにして守るのか? |
| ・What should an MSP provide to an organization in advance of a contract award to demonstrate security controls in place? | ・MSP は、契約締結前に、セキュリティ管理が行われていることを証明するために、組織に何を提供すべきか? |
| ・What network and system access levels are appropriate for third-party service providers? | ・サードパーティのサービスプロバイダにとって、どのようなネットワークやシステムのアクセスレベルが適切か? |
| It will require effort and time upfront for an organization to review their security practices and answer these types of questions. But, in the long run, it will help them spot pockets of risk from third-party vendors and improve their overall security and resilience. | 自社のセキュリティ対策を見直し、このような質問に答えるためには、前もって努力と時間が必要になります。しかし、長い目で見れば、サードパーティ・ベンダーのリスクを発見し、全体的なセキュリティと回復力を向上させることができるでしょう。 |
・RISK CONSIDERATIONS FOR MANAGED SERVICE PROVIDER CUSTOMERS
| RISK CONSIDERATIONS FOR MANAGED SERVICE PROVIDER CUSTOMERS | マネージド・サービス・プロバイダの顧客のリスクに関する件等 |
| This CISA Insights provides a framework that government and private sector organizations (to include small and medium-sized businesses) outsourcing some level of IT support to MSPs can use to better mitigate against third-party risk. | このCISA Insightsは、MSPにある程度のITサポートを委託している政府機関や民間企業(中小企業を含む)が、サードパーティのリスクをよりよく軽減するために使用できるフレームワークを提供しています。 |
| This resource focuses guidance to the three main organizational groups that play a role in reducing overall risk: (1) senior executives and boards of directors (strategic decision-making); (2) procurement professionals (operational decision-making); and (3) network administrators, systems administrators, and front-line cybersecurity staff (tactical decision-making). | この資料では、全体的なリスクを軽減する役割を担う3つの主要な組織グループに対するガイダンスに焦点を当てています。(1)上級管理職および取締役会(戦略的意思決定)、(2)調達担当者(運用的意思決定)、(3)ネットワーク管理者、システム管理者、および最前線のサイバーセキュリティスタッフ(戦術的意思決定)です。 |
| Strategic Decision-Making | 戦略的意思決定 |
| Senior executives must balance cost effectiveness and efficiency with reliability and security when considering whether to outsource IT services to an MSP. Outsourcing IT services does not absolve executives of risk management responsibilities. In order to balance these priorities, executives must maintain awareness of the technologies and systems supporting their operations. Executives must also understand the risks from potential loss of core organizational systems and services, loss of confidentiality, integrity, and availability of data, loss of consumer and market confidence, loss of productivity due to operational disruption, and fines, legal fees, or other regulatory costs, and other adverse financial impacts. Organizations must also account for risks to the vendors themselves, as vendors’ financial health and other attributes can serve as indicators of potential future service disruptions. | シニアエグゼクティブは、MSP に IT サービスをアウトソーシングするかどうかを検討する際に、費用対効果や効率性と信頼性やセキュリティのバランスを取る必要があります。IT サービスをアウトソーシングしたからといって、 経営者のリスク管理責任が免除されるわけではありません。これらの優先順位のバランスをとるために、経営者は自社の業務を支えるテクノロジーとシステムに対する認識を維持する必要があります。また、組織の中核となるシステムやサービスの喪失、データの機密性・完全性・可用性の喪失、消費者や市場の信頼性の喪失、業務の中断による生産性の低下、罰金・弁護士費用・その他の規制コスト、その他の財務上の悪影響などのリスクを理解していなければなりません。また、ベンダーの財務状況やその他の属性が、将来のサービス中断の可能性を示す指標となるため、企業はベンダー自身のリスクも考慮しなければなりません。 |
| Operational Decision Making | オペレーション上の意思決定 |
| Coordinated procurement, operations, continuity, and security requirements will decrease enterprise supply chain risk and improve system performance. Organizations with separate staff dedicated to each of those functions should coordinate IT requirements across organizational silos. For smaller organizations or those without staff dedicated specifically to these functions, an enterprise risk management plan should account for each of these requirements as part of an integrated approach to risk management at whatever scale is appropriate for the organization. | 調達、運用、継続性、セキュリティの各要件を調整することで、企業のサプライチェーンのリスクを低減し、システムのパフォーマンスを向上させることができます。これらの機能をそれぞれ専門に担当するスタッフがいる組織は、組織の壁を越えてIT要件を調整する必要があります。小規模な組織や、これらの機能に特化したスタッフがいない組織の場合、企業リスク管理計画は、組織にとって適切な規模のリスク管理への統合的アプローチの一環として、これらの各要件を考慮すべきである。 |
| Tactical Decision Making | 戦術的な意思決定 |
| Policies and controls on network access, controls, and logs, remain the organization’s responsibility while outsourcing IT services to an MSP. Organizations should identify personnel responsible for monitoring and managing the day-to-day activity of MSPs and must set careful policies on the access given to any third-party vendors. Common examples of such policies include establishing clear requirements for authentication or verification and maintaining controls and logs separate from the vendor’s records. Organizational policies and practices relating to the authentication of vendor logs and activities across the IT enterprise helps ensure appropriate and authorized activities by MSPs while protecting the client’s interests from unauthorized activities. | MSP に IT サービスを委託する場合でも、ネットワークへのアクセ ス、制御、およびログに関するポリシーと管理は、引き続き組織の責任で行われます。組織は、MSP の日々の活動を監視・管理する責任者を特定し、サードパーティのベンダーに与えられるアクセスについて慎重なポリシーを設定する必要があります。このようなポリシーの一般的な例としては、認証または検証のための明確な要件を設定することや、管理およびログをベンダーの記録とは別に維持することなどが挙げられます。IT企業全体におけるベンダーのログや活動の認証に関連する組織的なポリシーとプラクティスは、MSPによる適切で認可された活動を保証すると同時に、不正な活動からクライアントの利益を保護するのに役立ちます。 |
・[PDF] Risk Considerations for Managed Service Provider Customers
Comments