CISA、NSA、FBI、NCSC~UK、ACSC、CCCS、NCSC-NZ:マネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリー
こんにちは、米国のCISA、NSA、FBI、UKのNCSC~UK、オーストラリアのACSC、カナダのCCCS、ニュージランドのNCSC-NZが共同でマネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリーを発表していますね。。。
CISA, NSA, FBI AND INTERNATIONAL CYBER AUTHORITIES ISSUE CYBERSECURITY ADVISORY TO PROTECT MANAGED SERVICE PROVIDERS (MSP) AND CUSTOMERS | CISA、NSA、FBI、国際サイバー当局がマネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリーを発表 |
MSPs and customers recommended to adopt a shared commitment to security and implement baseline measures and controls | MSPと顧客は、セキュリティに対する共通のコミットメントを採用し、基本的な対策とコントロールを実施するよう推奨される |
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA), in partnership with the United Kingdom’s National Cyber Security Centre (NCSC-UK), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) released an advisory today with cybersecurity best practices for information and communications technology (ICT), focusing on enabling transparent discussions between managed service providers (MSPs) and their customers on securing sensitive data. CISA, NCSC-UK, ACSC, CCCS, NZ-NCSC, NSA, and FBI expect state-sponsored advanced persistent threat (APT) groups and other malicious cyber actors to increase their targeting of MSPs against both provider and customer networks. | ワシントン - サイバーセキュリティ・インフラセキュリティ局(CISA)は、英国国家サイバーセキュリティセンター(NCSC-UK)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダのサイバーセキュリティセンター(CCCS)、ニュージーランド・国家サイバーセキュリティセンター(NZ NCSC)、国家セキュリティ局(NSA)、連邦捜査局(FBI)と共同で、情報通信技術(ICT)に関するサイバーセキュリティのベストプラクティスとして、機密データの安全性について管理事業者(MSP)とその顧客の間で透過的に議論できることに焦点を当てた勧告を今日発表します。CISA、NCSC-UK、ACSC、CCCS、NZ-NCSC、NSA、FBIは、国家が支援する高度持続的脅威(APT)グループやその他の悪質なサイバー行為者が、プロバイダーと顧客の両方のネットワークに対してMSPを標的とすることを増加させると予測しています。 |
The advisory provides several actions that organizations can take to reduce their risk of becoming a victim to malicious cyber activity. Additionally, MSP customers should ensure their contractual arrangements specify that their MSP implements the measures and controls in this advisory, such as: | この勧告では、悪意のあるサイバー活動の犠牲になるリスクを低減するために組織が取るべき行動をいくつか提示しています。さらに、MSP の顧客は、契約上の取り決めにより、MSP がこの勧告にある次のような対策や制御を実施するよう明記する必要があります。 |
・Prevent initial compromise by implementing mitigation resources to protect initial compromise attack methods from vulnerable devices, internet-facing services, brute force and password spraying, and phishing. | ・脆弱なデバイス、インターネット向けサービス、ブルートフォースおよびパスワードの散布、フィッシングなどの初期侵害の攻撃手法を保護するための緩和リソースを実装することにより、初期侵害を防止する。 |
・Enable monitoring and logging, including storage of most important logs for at least six months, and implement endpoint detection and network defense monitoring capabilities in addition to using application allowlisting/denylisting. | ・アプリケーションの許可リスト/拒否リストの使用に加え、最重要ログの最低 6 カ月保存を含む監視とログ記録、およびエンドポイント検出とネットワーク防御の監視機能を実装する。 |
・Secure remote access applications and enforce multifactor authentication (MFA) where possible to harden the infrastructure that enables access to networks and systems. | ・リモートアクセスアプリケーションを保護し、可能な限り多要素認証(MFA)を実施し、ネットワークやシステムへのアクセスを可能にするインフラストラクチャを強化する。 |
・Develop and exercise incident response and recovery plans, which should include roles and responsibilities for all organizational stakeholders, including executives, technical leads, and procurement officers. | ・インシデントレスポンスと復旧計画を策定し、実施します。この計画には、経営幹部、技術責任者、調達担当者など、組織のすべての利害関係者の役割と責任を含めるべきである。 |
・Understand and proactively manage supply chain risk across security, legal, and procurement groups, using risk assessments to identify and prioritize the allocation of resources. | ・セキュリティ、法務、調達の各部門にまたがるサプライチェーンのリスクを理解し、積極的に管理し、リスク評価を用いてリソースの割り当てを特定し、優先順位をつける。 |
“As this joint advisory makes clear, malicious cyber actors continue to target managed service providers, which can significantly increase downstream risk to the businesses and organizations they support – why it’s critical that MSPs and their customers take action to protect their networks,” said CISA Director Jen Easterly. “Securing MSPs are critical to our collective cyber defense, and CISA and our interagency and international partners are committed to hardening their security and improving the resilience of our global supply chain.” | CISAディレクターのジェン・イースターは次のように述べています。 「この共同勧告が明らかにしているように、悪意のあるサイバー行為者はマネージド・サービス・プロバイダーを標的とし続けており、MSPがサポートする企業や組織の下流リスクを大幅に増大させる可能性があります。このため、MSPとその顧客が自社のネットワークを保護するために行動を起こすことが重要です。CISAと我々の省庁間および国際的なパートナーは、MSPのセキュリティを強化し、グローバルなサプライチェーンの回復力を向上させることに尽力しています」。 |
“We are committed to further strengthening the UK’s resilience, and our work with international partners is a vital part of that,” said NCSC CEO Lindy Cameron. “Our joint advisory with CISA is aimed at raising organisations’ awareness of the growing threat of supply chain attacks and the steps they can take to reduce their risk. I strongly encourage both managed service providers and their customers to follow this and our wider guidance – ultimately this will help protect not only them but organisations globally.” | NCSCのCEOであるLindy Cameronは、次のように述べています。「我々は、英国のレジリエンスをさらに強化することを約束し、国際的なパートナーとの協力はその重要な一部です。CISAとの共同勧告は、サプライチェーン攻撃の脅威の高まりと、リスクを軽減するための措置について、組織の意識を高めることを目的としています。マネージド・サービス・プロバイダーとその顧客が、この勧告と我々の広範なガイダンスに従うことを強くお勧めします-最終的にこれは、彼らだけでなく世界中の組織を守ることになるでしょう。 |
“Managed Service Providers are vital to many businesses and as a result, a major target for malicious cyber actors,” said Abigail Bradshaw CSC, Head of the Australian Cyber Security Centre. “These actors use them as launch pads to breach their customers’ networks, which we see are often compromised through ransomware attacks, business email compromises and other methods. Effective steps can be taken to harden their own networks and to protect their client information. We encourage all MSP’s to review their cyber security practices and implement the mitigation strategies outlined in this Advisory.” | オーストラリア・サイバー・セキュリティ・センターの責任者であるアビゲール・ブラッドショーCSCは次のように述べています。「マネージド・サービス・プロバイダーは、多くの企業にとって不可欠な存在であり、その結果、悪意のあるサイバー行為者の主要なターゲットとなっています。悪意のあるサイバー犯罪者は、プロバイダを拠点として顧客のネットワークに侵入し、ランサムウェア攻撃やビジネスメールの流出などの被害を受けることがよくあります。自社のネットワークを強化し、顧客情報を保護するために、効果的な手段を講じることができます。すべてのMSPは、自社のサイバーセキュリティの実践を見直し、本アドバイザリに記載されている緩和策を実施することを推奨します。」 |
“We’ve seen the damage and impact cyber compromises can have on supply chains, managed service providers, and their customers,” said Sami Khoury, Head, Canadian Centre for Cyber Security. “These compromises can result in costly mitigation activities and lengthy downtime for clients. We strongly encourage organizations to read this advisory and implement these guidelines as appropriate.” | 「カナダ・サイバー・セキュリティ・センターの責任者であるサミ・クーリーは、次のように述べています。「我々は、サイバー侵害がサプライチェーン、マネージド・サービス・プロバイダー、およびその顧客に与える損害と影響を目の当たりにしてきました。このような侵害は、コストのかかる被害軽減活動や顧客の長時間のダウンタイムにつながる可能性があります。我々は、組織がこの勧告を読み、必要に応じてこれらのガイドラインを実施することを強く推奨します。」 |
“Supply chain vulnerabilities are amongst the most significant cyber threats facing organisations today,” said Lisa Fong, Director of New Zealand’s National Cyber Security Centre. “As organisations strengthen their own cyber security, their exposure to cyber threats in their supply chain increasingly becomes their weakest point. Organisations need to ensure they are implementing effective controls to mitigate the risk of cyber security vulnerabilities being introduced to their systems via technology suppliers such as managed service providers. They also need to be prepared to effectively respond to when issues arise.” | ニュージーランドのナショナル・サイバー・セキュリティ・センターのディレクターであるリサ・フォングは、次のように述べています。「サプライチェーンの脆弱性は、今日、組織が直面している最も重大なサイバー脅威の一つです。組織が自らのサイバーセキュリティを強化するにつれ、サプライチェーンにおけるサイバー脅威にさらされることは、ますます弱点となります。 組織は、マネージド・サービス・プロバイダーなどの技術サプライヤーを通じて、サイバーセキュリティの脆弱性がシステムに持ち込まれるリスクを軽減するために、効果的な管理策を確実に実施する必要があります。 また、問題が発生した場合に効果的に対応できるように準備しておく必要があります。 」 |
"This joint guidance will help MSPs and customers engage in meaningful discussions on the responsibilities of securing networks and data," said Rob Joyce, NSA Cybersecurity Director. "Our recommendations cover actions such as preventing initial compromises and managing account authentication and authorization." | NSAのサイバーセキュリティ担当ディレクターであるロブ・ジョイスは、次のように述べています。「この共同指針は、MSPと顧客がネットワークとデータの安全確保の責任について有意義な議論を行うのに役立つだろう」と述べています。「私たちの勧告は、初期侵害の防止やアカウントの認証・認可の管理などの行動をカバーしています。」 |
“Through this joint advisory, the FBI, together with our federal and international partners, aims to encourage action by MSPs and their customers, as malicious cyber actors continue to target this vector for entry to threaten networks, businesses, and organizations globally,” said FBI's Cyber Division Assistant Director Bryan Vorndran. “These measures and controls should be implemented to ensure hardening of security and minimize potential harm to victims.” | FBIのサイバー部門アシスタントディレクターBryan Vorndranは次のように述べています。「この共同勧告を通じて、FBIは、連邦政府や国際的なパートナーとともに、悪意のあるサイバー行為者が世界中のネットワーク、企業、組織を脅かすためにこの侵入経路を狙い続けるMSPとその顧客による行動を奨励することを目指しています。これらの対策と制御を実施することで、セキュリティを強化し、被害者の潜在的な被害を最小限に抑えることができます。」 |
All organizations are encouraged to review the advisory for complete list of recommended security measures and operational controls. Organizations should implement these guidelines as appropriate to their unique environments, in accordance with their specific security needs, and in compliance with applicable regulations. |
すべての組織は、推奨されるセキュリティ対策と運用管理の完全なリストについて、勧告を確認することが推奨されます。組織は、これらのガイドラインを、固有の環境、固有のセキュリティニーズ、および適用される規制に基づき、適切に実施する必要があります。 |
Organizations should share information about incidents and unusual cyber activity with their respective cybersecurity authorities. When cyber incidents are reported quickly, it can contribute to stopping further attacks. In the U.S., organizations should inform CISA’s 24/7 Operations Center at report@cisa.gov or (888) 282-0870. | 組織は、インシデントや異常なサイバー活動に関する情報を、それぞれのサイバーセキュリティ当局と共有する必要があります。サイバーインシデントが迅速に報告されれば、さらなる攻撃の阻止に貢献することができます。米国では、組織はCISAの24時間365日オペレーションセンター(report@cisa.gov または (888) 282-0870)に通報する必要があります。 |
・2022.05.11 Alert (AA22-131A) Protecting Against Cyber Threats to Managed Service Providers and their Customers
Alert (AA22-131A) Protecting Against Cyber Threats to Managed Service Providers and their Customers | アラート(AA22-131A)マネージドサービスプロバイダとその顧客に対するサイバー脅威からの保護 |
Summary | 概要 |
Tactical actions for MSPs and their customers to take today: | MSPとその顧客が今日から行うべき戦術的なアクション: |
• Identify and disable accounts that are no longer in use. | ・使用しなくなったアカウントの特定と無効化 |
• Enforce MFA on MSP accounts that access the customer environment and monitor for unexplained failed authentication. | ・顧客環境にアクセスするMSPアカウントへのMFAの適用と、原因不明の認証失敗の監視。 |
• Ensure MSP-customer contracts transparently identify ownership of ICT security roles and responsibilities. | ・ICT セキュリティの役割と責任に関する所有権を、MSP と顧客の間で透明性をもって確認する契約の締結。 |
The cybersecurity authorities of the United Kingdom (NCSC-UK), Australia (ACSC), Canada (CCCS), New Zealand (NCSC-NZ), and the United States (CISA), (NSA), (FBI) are aware of recent reports that observe an increase in malicious cyber activity targeting managed service providers (MSPs) and expect this trend to continue.[1] This joint Cybersecurity Advisory (CSA) provides actions MSPs and their customers can take to reduce their risk of falling victim to a cyber intrusion. This advisory describes cybersecurity best practices for information and communications technology (ICT) services and functions, focusing on guidance that enables transparent discussions between MSPs and their customers on securing sensitive data. Organizations should implement these guidelines as appropriate to their unique environments, in accordance with their specific security needs, and in compliance with applicable regulations. MSP customers should verify that the contractual arrangements with their provider include cybersecurity measures in line with their particular security requirements. | 英国(NCSC-UK)、オーストラリア(ACSC)、カナダ(CCCS)、ニュージーランド(NCSC-NZ)、米国(CISA)、(NSA)、(FBI)のサイバーセキュリティ当局は、MSPを標的とした悪質なサイバー活動の増加を観測する最近の報告について認識しており、この傾向が続くと予想しています。 この共同サイバーセキュリティ勧告(CSA)は、サイバー侵入の犠牲になるリスクを減らすためにMSPとその顧客が取るべき措置を提供しています[1] 。この勧告では、情報通信技術(ICT)サービスおよび機能に関するサイバーセキュリティのベストプラクティスを説明し、機密データの保護に関するMSPとその顧客間の透明性の高い議論を可能にする指針に重点を置いています。組織は、固有のセキュリティ・ニーズに従って、適用される規制を遵守し、固有の環境に適したこれらのガイドラインを実施する必要があります。MSP の顧客は、プロバイダとの契約上の取り決めに、自社の特定のセキュリティ要件に沿ったサイ バーセキュリティ対策が含まれていることを確認する必要があります。 |
The guidance provided in this advisory is specifically tailored for both MSPs and their customers and is the result of a collaborative effort from the United Kingdom National Cyber Security Centre (NCSC-UK), the Australian Cyber Security Centre (ACSC), the Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ), the United States' Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) with contributions from industry members of the Joint Cyber Defense Collaborative (JCDC). Organizations should read this advisory in conjunction with NCSC-UK guidance on actions to take when the cyber threat is heightened, CCCS guidance on Cyber Security Considerations for Consumers of Managed Services, and CISA guidance provided on the Shields Up and Shields Up Technical Guidance webpages. | この勧告で提供されるガイダンスは、特にMSPとその顧客の両方に合わせたもので、英国国立サイバーセキュリティセンター(NCSC-UK)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国立サイバーセキュリティセンター(NCSC-NZ)、米国サイバーセキュリティおよびインフラセキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)が、合同サイバー防衛協議会(JCDC)の業界メンバーから貢献を受けて共同で作成した結果となっています。組織は、この勧告を、サイバー脅威が高まったときに取るべき行動に関する NCSC-UK のガイダンス、マネージドサービスの消費者のためのサイバーセキュリティに関する考察に関する CCCS のガイダンス、および Shields Up と Shields Up Technical Guidance の Web ページで提供されている CISA のガイダンスと併せて読む必要があります。 |
Managed Service Providers | マネージド・サービス・プロバイダー |
This advisory defines MSPs as entities that deliver, operate, or manage ICT services and functions for their customers via a contractual arrangement, such as a service level agreement. In addition to offering their own services, an MSP may offer services in conjunction with those of other providers. Offerings may include platform, software, and IT infrastructure services; business process and support functions; and cybersecurity services. MSPs typically manage these services and functions in their customer's network environment—either on the customer's premises or hosted in the MSP's data center. Note: this advisory does not address guidance on cloud service providers (CSPs)— providers who handle the ICT needs of their customers via cloud services such as Software-as-aService, Platform-as-a-Service, and Infrastructure-as-a-Service; however, MSPs may offer these services as well. (See Appendix for additional definitions.) | この勧告では、MSPを、サービスレベル契約などの契約上の取り決めにより、顧客のためにICTサービスや機能を提供、運用、管理する事業者と定義しています。MSPは、独自のサービスを提供するだけでなく、他のプロバイダと連携してサービスを提供することもある。提供するサービスには、プラットフォーム、ソフトウェア、ITインフラストラクチャーサービス、ビジネスプロセスおよびサポート機能、サイバーセキュリティサービスなどが含まれる場合があります。MSP は通常、顧客のネットワーク環境(顧客の敷地内または MSP のデータ・センターでホストされる)でこれらのサービスおよび機能を管理する。 注:この勧告は、クラウド・サービス・プロバイダ(CSP)-Software-as-a-Service、Platform-as-a-Service、および Infrastructure-as-a-Service などのクラウドサービスを通じて顧客の ICT ニーズを処理するプロバイダ-に関する指針を扱っていない(しかし MSP はこれらのサービスをも提供できる場合がある)。(その他の定義については、附属書を参照)。 |
MSPs provide services that usually require both trusted network connectivity and privileged access to and from customer systems. Many organizations—ranging from large critical infrastructure organizations to small- and mid-sized businesses—use MSPs to manage ICT systems, store data, or support sensitive processes. Many organizations make use of MSPs to scale and support network environments and processes without expanding their internal staff or having to develop the capabilities internally. | MSPは、通常、信頼できるネットワーク接続と、顧客システムとの特権的なアクセスの両方を必要とするサービスを提供する。大規模な重要インフラストラクチャ組織から中小企業に至るまで、多くの組織が ICT システムの管理、データの保存、または機密プロセスのサポートに MSP を使用している。また、MSPを利用することで、社内スタッフを増員したり、社内で機能を開発することなく、ネットワーク環境やプロセスを拡張し、サポートしている企業も少なくありません。 |
Threat Actors Targeting MSP Access to Customer Networks | MSPの顧客ネットワークへのアクセスを狙う脅威要因 |
Whether the customer's network environment is on premises or externally hosted, threat actors can use a vulnerable MSP as an initial access vector to multiple victim networks, with globally cascading effects. The UK, Australian, Canadian, New Zealand, and U.S. cybersecurity authorities expect malicious cyber actors—including state-sponsored advanced persistent threat (APT) groups—to step up their targeting of MSPs in their efforts to exploit provider-customer network trust relationships. For example, threat actors successfully compromising an MSP could enable follow-on activity—such as ransomware and cyber espionage—against the MSP as well as across the MSP's customer base. | 顧客のネットワーク環境がオンプレミスか外部ホスティングかにかかわらず、脅威者は脆弱なMSPを複数の被害者ネットワークへの最初のアクセス・ベクトルとして利用し、グローバルに連鎖的な影響を及ぼす可能性があります。英国、オーストラリア、カナダ、ニュージーランド、および米国のサイバーセキュリティ当局は、国家に支援された高度持続的脅威(APT)グループを含む悪質なサイバーアクターが、プロバイダーと顧客のネットワークの信頼関係を悪用するために、MSPの標的をさらに強化することを期待しています。例えば、MSPを危険にさらすことに成功した脅威者は、MSPやMSPの顧客基盤全体に対して、ランサムウェアやサイバースパイといった後続の活動を可能にする可能性があります。 |
The UK, Australian, Canadian, New Zealand, and U.S. cybersecurity authorities have previously issued general guidance for MSPs and their customers.[2],[3],[4],[5],[6],[7],[8] This advisory provides specific guidance to enable transparent, well-informed discussions between MSPs and their customers that center on securing sensitive information and data. These discussions should result in a re-evaluation of security processes and contractual commitments to accommodate customer risk tolerance. A shared commitment to security will reduce risk for both MSPs and their customers, as well as the global ICT community. | 英国、オーストラリア、カナダ、ニュージーランド、および米国のサイバーセキュリティ当局は、これまでにMSPとその顧客に対する一般的なガイダンスを発表しています[2], [3], [4], [5], [6], [7], [8] この勧告では、機密情報とデータの保護を中心に、透明で十分に情報に基づいたMSPとその顧客間の話し合いを可能にするための特定のガイダンスが提供されています。これらの議論の結果、顧客のリスク許容度に対応するために、セキュリティ・プロセスおよび契約上のコミットメントを再評価する必要があります。セキュリティに対する共通のコミットメントは、MSPとその顧客、そしてグローバルなICTコミュニティのリスクを軽減することになります。 |
Download the Joint Cybersecurity Advisory: Protecting Against Cyber Threats to Managed Service Providers and their Customers (pdf, 697kb). | サイバーセキュリティに関する共同アドバイザリーをダウンロードする。 マネージド・サービス・プロバイダーとその顧客に対するサイバー脅威からの保護 (pdf, 697kb). |
・[PDF]
« 米国 ITI SECのサイバーセキュリティに関する規則案の延期を要請 - セキュリティリスクの分散と軽減のために | Main | Cloud Security Alliance: サーバーレスアーキテクチャの安全性を確保するためのCレベル向けガイダンス (2022.04.19) »
Comments