« 経済安全保障関連の政省令のパブリックコメントの結果... | Main | 米国 FBI 生徒と携帯電話の安全のためにデジタル保護の構築 (2023.08.08) »

2023.08.12

米国 国土安全保障省サイバー安全審査会 第3回の調査はクラウドセキュリティの予定

こんにちは、丸山満彦です。

国土安全保障サイバー安全審査会は、2021年のEO14028に基づいて設置された審査会で、第1回報告書は、Log4jに関する報告で、第2回報告書は昨日発表された「Lapsus$」に関する報告...

そして、これから行われるのは、政府、産業界、クラウド・サービス・プロバイダー(CSP)がクラウドにおけるID管理と認証を強化するために採用すべきアプローチのようです。。。

 

Department of Homeland Security

・2023.08.11 Department of Homeland Security’s Cyber Safety Review Board to Conduct Review on Cloud Security 

Department of Homeland Security’s Cyber Safety Review Board to Conduct Review on Cloud Security  国土安全保障省のサイバー安全審査会がクラウドセキュリティに関する審査を実施する 
CSRB’s Third Review Will Provide Recommendations to Help Organizations Protect Against Malicious Access to Cloud-Based Accounts   CSRBの第3回レビューでは、組織がクラウドベースのアカウントへの悪意あるアクセスから保護するための推奨事項を提供する  
WASHINGTON – Today, Secretary of Homeland Security Alejandro N. Mayorkas announced that the Cyber Safety Review Board (CSRB) will conduct its next review on the malicious targeting of cloud computing environments. The review will focus on approaches government, industry, and Cloud Service Providers (CSPs) should employ to strengthen identity management and authentication in the cloud. The CSRB will assess the recent Microsoft Exchange Online intrusion, initially reported in July 2023, and conduct a broader review of issues relating to cloud-based identity and authentication infrastructure affecting applicable CSPs and their customers. The Department began considering whether this incident would be an appropriate subject of the Board’s next review immediately upon learning of the incident in July. The Board will develop actionable recommendations that will advance cybersecurity practices for both cloud computing customers and CSPs themselves. Once concluded, the report will be transmitted to President Joseph R. Biden, Jr. through Secretary Mayorkas and Cybersecurity and Infrastructure Security Agency (CISA) Director Jen Easterly.  ワシントン - 本日、アレハンドロ・N・マヨルカス国土安全保障長官は、Cyber Safety Review Board(CSRB)がクラウド・コンピューティング環境の悪意ある標的化に関する次回のレビューを実施することを発表した。このレビューでは、政府、産業界、クラウド・サービス・プロバイダ(CSPs)がクラウドにおけるID管理と本人認証を強化するために採用すべきアプローチに焦点が当てられる。CSRB は、2023 年 7 月に最初に報告された最近の Microsoft Exchange Online への侵入を評価し、該当する CSP とその顧客に影響を与えるクラウドベースの ID および認証インフラに関連する問題について、より広範なレビューを実施する。同省は、7 月にインシデントが発生したことを知った直後から、このインシデントが理事会の次回のレビュー の対象として適切かどうかの検討を開始した。理事会は、クラウド・コンピューティングの顧客とCSP自身の双方にとってサイバーセキュリティの実践を前進させるための実行可能な勧告を策定する予定である。この報告書は、マヨルカス長官およびサイバーセキュリティ・インフラセキュリティ庁(CISA)のジェン・イースタリー長官を通じて、ジョセフ・R・バイデンJr.大統領に提出される。 
“Organizations of all kinds are increasingly reliant on cloud computing to deliver services to the American people, which makes it imperative that we understand the vulnerabilities of that technology,” said Secretary of Homeland Security Alejandro N. Mayorkas. “Cloud security is the backbone of some of our most critical systems, from our e-commerce platforms to our communication tools to our critical infrastructure. In its reviews of the Log4j vulnerabilities and activities associated with Lapsus$, the CSRB has proven itself to be ready to tackle and examine critical and timely issues like this one. Actionable recommendations from the CSRB will help all organizations better secure their data and further cyber resilience.”   「国土安全保障省のアレハンドロ・N・マヨルカス長官は、「あらゆる組織が米国民にサービスを提供するためにクラウド・コンピューティングへの依存度を高めており、その技術の脆弱性を理解することが不可欠だ。「クラウドのセキュリティは、電子商取引のプラットフォームからコミュニケーションツール、重要なインフラに至るまで、最も重要なシステムのバックボーンとなっている。Log4jの脆弱性とLapsus$に関連する活動のレビューにおいて、CSRBは、このような重要かつタイムリーな問題に取り組み、検討する準備ができていることを証明した。CSRBからの実行可能な提言は、すべての組織がデータの安全性を高め、サイバーレジリエンスを向上させるのに役立つだろう。"  
The CSRB is an unprecedented public-private initiative that brings together government and industry leaders to deepen our understanding of significant cybersecurity events, including the root causes, mitigations, and responses, and to issue recommendations, based on this fact-finding in the wake of those events. The CSRB’s first review focused on vulnerabilities discovered in late 2021 in the widely used Log4j open-source software library. Its second review, released yesterday, examined the recent attacks associated with Lapsus$, a global extortion-focused hacker group. The CSRB found that Lapsus$ leveraged simple techniques to evade industry-standard securitytools that are a lynchpin of many corporate cybersecurity programs and outlined 10 actionable recommendations for how government, companies, and civil society can better protect against Lapsus$ and similar groups .    CSRBは、政府と業界のリーダーを結集し、サイバーセキュリティに関する重大な事象について、その根本原因、低減策、対応策を含めて理解を深め、事象発生後の事実調査に基づき、提言を発表する前例のない官民イニシアチブである。CSRBの最初のレビューは、2021年後半に発見された、広く使用されているオープンソースソフトウェア・ライブラリ「Log4j」の脆弱性に焦点を当てたものだった。昨日発表された2回目のレビューでは、世界的な恐喝に特化したハッカー集団であるLapsus$に関連する最近の攻撃を調査した。CSRBは、Lapsus$が多くの企業のサイバーセキュリティ・プログラムの主軸である業界標準のセキュリティ・ツールを回避するために単純なテクニックを活用していることを発見し、政府、企業、市民社会がLapsus$や同様のグループからよりよく保護するための10の実行可能な勧告をまとめた。   
“We must as a country acknowledge the increasing criticality of cloud infrastructure in our daily lives and identify the best ways to secure that infrastructure and the many businesses and consumers that rely on it,” said CSRB Chair and DHS Under Secretary for Policy Rob Silvers. “The Cyber Safety Review Board is designed to assess significant incidents and ecosystem vulnerabilities and make recommendations based on the lessons learned. To do this work, we bring together the best expertise from industry and government. The Board will undertake a thorough review.”  「私たちの日常生活においてクラウドインフラの重要性が増していることを国として認識し、そのインフラとそれに依存する多くの企業や消費者を保護する最善の方法を特定しなければならない」と、CSRB議長でDHS政策担当のロブ・シルバース次官は述べた。「サイバーセーフティレビュー委員会は、重要なインシデントやエコシステムの脆弱性を評価し、得られた教訓に基づいて提言を行うことを目的としている。この作業を行うために、我々は産業界と政府から最高の専門家を集めている。委員会は徹底的なレビューを行う。 
“An effective shared responsibility model requires a persistent focus on potential systemic risks in cloud environments. Organizations around the world place trust in secure identity management and authentication infrastructure to provide essential functions and protect sensitive data,” said CISA Director Jen Easterly. “The Board’s findings and recommendations from this assessment will advance cybersecurity practices across cloud environments and ensure that we can collectively maintain trust in these critical systems.”  「効果的な責任共有モデルには、クラウド環境における潜在的なシステムリスクに持続的に焦点を当てることが必要である。世界中の組織が、重要な機能を提供し、機密データを保護するために、安全なID管理と認証インフラを信頼している。「この評価から得られた理事会の知見と提言は、クラウド環境全体におけるサイバーセキュリティの実践を促進し、これらの重要なシステムに対する信頼を集団として維持できるようにするものである。 
The CSRB does not have regulatory powers and is not an enforcement authority. Its purpose is to identify relevant lessons learned to inform future improvements and better protect our communities.    CSRBは規制権限を持たず、執行機関でもない。その目的は、将来の改善に役立つ関連する教訓を特定し、地域社会をより良く保護することである。   

 

サイバー安全審査会

Cyber Safety Review Board (CSRB)

 

報告書

第2回...

・2023.08.10 Cyber Safety Review Board Releases Report on Activities of Global Extortion-Focused Hacker Group Lapsus$

Cyber Safety Review Board Releases Report on Activities of Global Extortion-Focused Hacker Group Lapsus$ サイバーセーフティ検討委員会、世界的な恐喝に特化したハッカーグループ「Lapsus$」の活動に関する報告書を発表
Report Includes 10 Specific Recommendations for Government and Industry 報告書には政府と産業界に対する10の具体的な提言が含まれる
WASHINGTON – Today, the U.S. Department of Homeland Security (DHS) released the Cyber Safety Review Board’s (CSRB) report summarizing the findings of its review into the activities associated with a threat actor group known as Lapsus$. The CSRB found that Lapsus$ leveraged simple techniques to evade industry-standard security tools that are a lynchpin of many corporate cybersecurity programs and outlined 10 actionable recommendations for how government, companies, and civil society can better protect against Lapsus$ and similar groups. The report was delivered to President Joseph R. Biden, Jr. through Secretary of Homeland Security Alejandro N. Mayorkas. ワシントン発 - 本日、米国国土安全保障省(DHS)は、サイバー安全審査委員会(CSRB)による、Lapsus$として知られる脅威行為者の活動に関する審査結果をまとめた報告書を公表した。CSRBは、Lapsus$が多くの企業のサイバーセキュリティ・プログラムの要である業界標準のセキュリティ・ツールを回避するために単純なテクニックを活用していることを発見し、政府、企業、市民社会がLapsus$や類似のグループからよりよく保護するための10の実行可能な勧告をまとめた。この報告書は、アレハンドロ・N・マヨルカス国土安全保障長官を通じて、ジョセフ・R・バイデン・ジュニア大統領に提出された。
“Our ability to protect Americans from cyber vulnerabilities has never been stronger thanks to the community we are building through the Cyber Safety Review Board,” said Secretary of Homeland Security Alejandro N. Mayorkas. “As our threat environment evolves, so too must our detection and prevention capabilities. We must also evolve our ability to deploy those capabilities. The CSRB’s findings are not only timely, they are actionable and written with the guidance of real-world practitioners in the private sector.” 「国土安全保障省のアレハンドロ・N・マヨルカス長官は、「サイバー安全審査会を通じて構築しているコミュニティのおかげで、米国人をサイバー脆弱性から守る我々の能力はかつてないほど強化された。「脅威環境が進化するにつれ、検知・防止能力も進化しなければならない。また、それらの能力を展開する能力も進化させなければならない。CSRBの調査結果は時宜を得たものであるだけでなく、実行可能なものであり、民間部門の実際の実務者の指導に基づいて書かれている。
Beginning in late 2021 and late into 2022, Lapsus$ reportedly employed techniques to bypass a range of commonly used security controls and successfully infiltrated dozens of well-resourced organizations. The CSRB engaged with nearly 40 organizations and individuals — including representatives from threat intelligence firms, incident response firms, targeted organizations, international law enforcement organizations, as well as individual researchers and subject matter experts, and companies targeted in the attacks — to better understand the incidents and recommend safety improvements for the future. 2021年後半から2022年後半にかけて、Lapsus$は一般的に使用されている様々なセキュリティ管理を迂回するテクニックを駆使し、十分なリソースを持つ数十の組織への侵入に成功したと報告されている。CSRBは、脅威インテリジェンス企業、インシデント対応企業、標的組織、国際的な法執行機関、研究者や専門家、攻撃の標的となった企業の代表者を含む約40の組織や個人と協力し、インシデントの理解を深め、今後の安全性の改善を提言した。
The CSRB found that Lapsus$ and related threat actors used primarily simple techniques, like stealing cell phone numbers and phishing employees, to gain access to companies and their proprietary data. Among its findings, the Board saw a collective failure across organizations to account for the risks associated with using text messaging and voice calls for multi-factor authentication. It calls for organizations to immediately switch to more secure, easy-to-use, password-less solutions by design. The report also includes recommendations for cell phone carriers to better protect their customers by implementing stringent authentication methods, and for the Federal Communications Commission (FCC) and Federal Trade Commission (FTC) to mandate and standardize best practices to combat SIM swapping. CSRBは、Lapsus$と関連する脅威行為者は、主に携帯電話番号の窃盗や従業員へのフィッシングといった単純なテクニックを用いて、企業やその専有データにアクセスしていたことを明らかにした。調査結果の中でCSRBは、多要素認証にテキストメッセージや音声通話を使用することに関連するリスクについて、組織全体が考慮していないことを指摘した。同報告書は、組織に対し、より安全で使いやすく、パスワード不要のソリューションに設計上直ちに切り替えるよう求めている。報告書はまた、携帯電話会社に対して、厳格な認証方法を導入することで顧客をよりよく保護すること、連邦コミュニケーション委員会(FCC)と連邦取引委員会(FTC)に対して、SIMスワッピングに対抗するためのベスト・プラクティスを義務付け、標準化することを提言している。
“The Board examined how a loosely organized group of hackers, some of them teenagers, were consistently able to break into the most well-defended companies in the world,” said CSRB Chair and DHS Under Secretary for Policy Robert Silvers. “We uncovered deficiencies in how companies ensure the security of their vendors; how cell phone carriers protect their customers from SIM swapping; and how organizations authenticate users on their systems. The Board put forward specific recommendations to address these issues and more, in line with the Board’s mandate to conduct comprehensive after-action reviews of the most significant cyber incidents.” 「CSRB委員長兼DHS政策担当次官のロバート・シルヴァース氏は、「当委員会は、緩く組織化されたハッカー集団(その中には10代の若者もいる)が、世界で最も防御体制の整った企業に一貫して侵入できた理由を調査した。「われわれは、企業がベンダーのセキュリティをどのように確保しているか、携帯電話キャリアがSIMスワッピングから顧客をどのように保護しているか、組織がシステム上のユーザーをどのように認証しているか、などの不備を明らかにした。委員会は、最も重大なサイバーインシデントの包括的な事後レビューを行うという委員会の使命に沿って、これらの問題やその他の問題に対処するための具体的な提言を行った。
“The Cyber Safety Review Board took on this review to better understand Lapsus$’s tactics and help organizations protect themselves,” said CSRB Deputy Chair Heather Adkins. “Our findings noted the weaknesses with many current methods of authentication, and we provide timely and actionable recommendations for all organizations to put stronger defenses in place.” 「CSRBのヘザー・アドキンス副委員長は、「サイバー安全審査委員会は、Lapsus$の手口をよりよく理解し、組織が自らを守るのを助けるために、この審査を引き受けた。「我々の調査結果は、現在の多くの本人認証方法の弱点を指摘し、すべての組織がより強固な防御を導入できるよう、タイムリーで実行可能な提言を行うものである。
“The CSRB’s latest report reinforces the need for all organizations to take urgent steps to increase their cyber resilience, including the implementation of phishing-resistant multi-factor authentication,” said Cybersecurity and Infrastructure Security Agency (CISA) Director Jen Easterly. “I look forward to working with our federal and industry partners to act on the CSRB’s recommendations, to include continuing our secure-by-design work with technology manufacturers to ensure that necessary security features are provided to customers without additional cost.” 「サイバーセキュリティ・インフラセキュリティ庁(CISA)のジェン・イースタリー長官は、「CSRBの最新報告書は、すべての組織がフィッシングに強い多要素認証の導入を含め、サイバーレジリエンスを高めるための緊急措置を講じる必要性を強化している。「必要なセキュリティ機能が追加コストなしに顧客に提供されるよう、技術メーカーとセキュア・バイ・デザイン作業を継続することを含め、CSRBの勧告を実行するため、連邦政府および業界のパートナーと協力することを楽しみにしている。
As directed by President Biden through Executive Order 14028 Improving the Nation’s Cybersecurity, Secretary Mayorkas established the CSRB in February 2022. The CSRB provides a unique forum for leading government and industry experts to review significant cybersecurity events and provide recommendations to better protect our nation. DHS and the CSRB are committed to transparency and will, whenever possible, release public versions of CSRB reports, consistent with applicable law and the need to protect sensitive information from disclosure. 大統領令14028「国家のサイバーセキュリティ改善」を通じたバイデン大統領の指示により、マヨルカス長官は2022年2月にCSRBを設立した。CSRBは、政府と業界の一流の専門家がサイバーセキュリティに関する重要な出来事を検討し、わが国をより良く保護するための提言を行うユニークなフォーラムを提供する。DHSとCSRBは透明性を重視しており、適用法や機密情報保護の必要性に応じて、可能な限りCSRB報告書を公開する。

 

・[PDF]

20230812-130328

 

第1回

・2022.07.11

・[PDF]

20230812-130649

 

 

 

 

|

« 経済安全保障関連の政省令のパブリックコメントの結果... | Main | 米国 FBI 生徒と携帯電話の安全のためにデジタル保護の構築 (2023.08.08) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経済安全保障関連の政省令のパブリックコメントの結果... | Main | 米国 FBI 生徒と携帯電話の安全のためにデジタル保護の構築 (2023.08.08) »