マネージドサービスプロバイダとその顧客を標的としたサイバー脅威に対する防御について

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

今日はUK、オーストラリア、カナダ、ニュージーランド、米国の共同アドバイザリーが報告したマネージドサービスプロバイダーとその顧客を標的としたサイバー脅威の対策について紹介していきたいと思います。

概要

引用:https://media.defense.gov/2022/May/11/2002994383/-1/-1/0/CSA_Protecting_Against_Cyber_Threats_to_MSPs_and_their_Customers_05112022.PDF

米国、オーストラリア、カナダ、ニュージーランド、英国のセキュリティ当局*1は最近の報告でマネージドサービスプロバイダー(MSP)を標的とした悪意あるサイバー活動が増加していると認識しています。
このジョイントサイバーセキュリティアドバイザリ(CSA)はMSPとその顧客がこれらのサイバー攻撃による侵害に対して被害者になるリスクを低減するためのアクションを提供します。

このアドバイザリでは、情報通信技術(ICT)サービス、機能に関するサイバーセキュリティのベストプラクティスを説明し、MSPとその顧客の間で機密データを保護するために議論するためのガイダンスに焦点を当てています。
組織は、組織固有のセキュリティ・ニーズに従って、適用される規制を遵守し、環境に適したガイドラインを実行する必要があります。
MSP の顧客は、プロバイダとの契約上の取り決めに、自社の特定のセキュリティ要件に沿ったサイバーセキュリティ対策が含まれていることを確認する必要があります。
このアドバイザリで提供されるガイダンスは、特にMSPとその顧客に向けたもので、以下に示す各国のセキュリティ当局が共同作業からの貢献した結果となっています。

*1:米国
NSA(National Security Agency/Central Security Service
CISA(Cybersecurity Infrastracture Service Advisory
FBI(FEDERAL BUREAU OF INVESTIGATION

オーストラリア
ACSC (Australian Cyber Security Centre)


カナダ
CCC(Canadian Centre For Cyber Security)


ニュージーランド
NCSC(National Cyber Secuirty Centre

英国(UK)
NCA(National Crime Agency
NCSC(National Cyber Secuirty Centre

マネージドサービスプロバイダーの定義

このアドバイザリでは、MSP を、サービス・レベル契約などの契約上の取り決めにより、顧客のために ICT サービスと機能を提供、運営、または管理する事業者と定義している。
MSPは、独自のサービスを提供するだけでなく、他のプロバイダと連携してサービスを提供することもあります。
提供するサービスには、プラットフォーム、ソフトウェア、ITインフラストラクチャーサービス、ビジネスプロセス、サポート機能、サイバーセキュリティサービスなどが含まれる場合があります。
また、MSPは、通常、顧客のネットワーク環境(顧客構内またはMSPのデータセンターでホストされる)において、これらのサービスおよび機能を管理する。

:このアドバイザリは、クラウドサービスプロバイダ(CSP)-Software-as-a-Service(SaaS), Platform-as-a-Service(PaaS), Infrastructure-as-a-Service(IaaS) などのクラウドサービスを通じて顧客の ICT ニーズに対応するプロバイダ-に関する指針を扱うものではありませんが、MSP はこれらのサービスに関しても適用できる場合があります。

MSPは、通常、信頼できるネットワーク接続と顧客システムとの特権的なアクセスの両方を必要とするサービスを提供しています。
大規模な重要インフラ組織から中小企業に至るまで、多くの組織がMSPを利用してICTシステムの管理、データの保存、機密プロセスのサポートを行っています。
多くの企業は、MSPを利用することで、社内スタッフを増員したり、社内で能力を開発することなく、ネットワーク環境とプロセスの拡張とサポートを実現しています。

MSPを標的としエンドユーザネットワークを攻撃する脅威犯罪者

顧客のネットワーク環境がオンプレミスか外部ホスティングかにかかわらず、脅威犯罪者は脆弱なMSPを経由し、複数の被害者ネットワークへのアクセスに利用することで、グローバルに連鎖的な影響を及ぼす可能性があります。
各国のサイバーセキュリティ当局は、国家に支援された脅威犯罪者グループ(APT)を含む悪質なサイバー犯罪者が、MSPを標的とすることで複数の顧客のネットワークへの侵害に利用することができるようになります。
例えば、MSPを危険にさらすことに成功した脅威犯罪者は、MSPやMSPの顧客基盤全体に対して、ランサムウェアやサイバースパイ活動といった後続の活動を可能にする可能性があります。
各国のサイバーセキュリティ当局は、これまでにMSPとその顧客に対する一般的なガイダンスを発表しています。
この勧告では、機密情報とデータの保護を中心に、透明で十分な情報に基づいたMSPとその顧客間の議論を可能にするための特定のガイダンスを提供しています。
これらの議論を元に、顧客のリスク許容度に対応するためのセキュリティ・プロセス、契約上のコミットメントを再評価する必要があります。
セキュリティに対する共通のコミットメントは、MSPとその顧客、およびグローバルなICTコミュニティ双方にとってのリスクを軽減することになります。

推奨案

MSPとその顧客に向けて

各国のセキュリティ当局は、MSPとその顧客が、本セクションに記載されているベースラインのセキュリティ対策と運用管理を実施することを推奨しています。
さらに、顧客は、契約上の取り決めにより、MSPがこれらの措置、管理を実施することを明記する必要があります。

初期侵入への防御

悪意あるサイバー犯罪者は、MSPを侵害するために、脆弱なデバイスやインターネットに面したサービスを悪用し、ブルートフォース攻撃、フィッシング攻撃を使用して、初期侵害を実行します。
MSP とその顧客は、これらの攻撃手法を確実に緩和する必要があります。
初期侵害の攻撃方法に関する有用な緩和策に関して以下に示します。

  • 脆弱な機器のセキュリティの向上
  • インターネットに面した保護対策
  • ブルートフォースおよびパスワードスプレー攻撃に対する保護
  • フィッシング攻撃に対する保護対策

モニタリングとロギングプロセスの有効化/改善

インシデントが検出されるまでに数カ月かかることもあるため、各国のサイバーセキュリティ当局は、すべての組織が最も重要なログを少なくとも6カ月間保存することを推奨しています。
包括的なSIEM(Security Information and Event Management)ソリューションであれ、個別のログ記録ツールであれ、ネットワークに対する脅威を検出するために、分離されたログ体制を導入し、維持することが必要になります。
組織は、セキュリティ目的で収集する適切なデータとその使用時期について、NCSC-UKのガイダンスを参照することができます。
具体的にはどのようなログを記録すべきなのか?さらに、すべての組織は、MSP との契約か自社によるかにかかわらず、アプリケーションの許可リスト/拒否リストの使用に加えて、エンドポイント検出とネットワーク防御の監視機能を実装する必要があります。

  • MSP は、顧客にサービスを提供するために使用される配信インフラストラクチャの活動を記録す る必要があります。
    また、MSP は、契約で合意されたとおり、内部および顧客の両方のネットワーク活動を記録する必要があります。
  • 顧客は、システムに対するアクセスの効果的な監視、ロギングを可能にする必要があります。
    顧客は、監視、ロギングを実行するためにMSPを選択する場合、その契約上の取り決めがMSPに以下を要求する必要があります。
    • プロバイダが管理する顧客システムの適切な監視とログ取得を可能にし、包括的なセキュリ ティイベント管理を実施する。
    • 契約上の取り決めに従って、プロバイダの存在、活動、及び顧客ネットワークへの接続を 含むロギング活動の可視性を顧客に提供する。
      (注:顧客は、MSPのアカウントが適切に監視、監査されていることを確認する必要があります。)
    • プロバイダのインフラストラクチャ、管理ネットワークで発生した、疑われるセキュリティ・イベント、インシデントを顧客に通知し、分析およびトリアージのためにセ キュリティ運用センタ(SOC)に送信する必要があります。

多要素認証(MFA)の実装

組織はリモートアクセスアプリケーションを保護し、可能な限りMFAを実装して、ネットワークとシステムへのアクセスを可能にするインフラストラクチャを強化する必要があります
注:ロシアの国家支援型 APT 活動家は最近、デフォルトMFAプロトコルを侵害する能力を有しています。
組織は構成ポリシーを見直し、”fail open”と再登録のシナリオから保護する必要があります。

  • MSP は、すべての顧客サービス、製品にMFAを導入するよう推奨する必要があります。
    注:MSP は、顧客の環境にアクセスできるすべてのアカウントにMFAを導入し、これらのアカウントを特権的なものとして扱うべきです。
  • 顧客は、契約上の取り決めにより、顧客が受けるサービスや製品にMFAを使用することが義務付けられていることを確認する必要があります。
    また、契約では、顧客の環境にアクセスするために使用されるすべてのMSPアカウントにMFAを実施することを要求する必要があります。

内部アーキテクチャーのリスク管理と内部ネットワークの分離

組織は、自らの環境を理解し、ネットワークを分離する必要があります。
重要な業務システムを特定、グループ化、分離し、それらに適切なネットワークセキュリティ管理を適用することで、組織全体の侵害の影響を軽減することができます。

  • MSPは社内システム、顧客システム、その他のネットワーク間のすべての接続を確認し、検証する必要があります。
    顧客のデータセットおよびサービスを互いに分離し、社内ネットワークから分離して、単一の攻撃ベクトルの影響を制限するように設計します。
    複数の顧客間で管理者認証情報を再利用しないようにします。
  • 顧客は、社内システム、MSP システム、他のネットワーク間のすべての接続を確認し、検証する必要があります。
    異なる環境間でID管理プロバイダと信頼の管理を確実に行う必要があります。
    専用の仮想プライベート・ネットワーク(VPN)または別の安全なアクセス方法を使用して、 MSPインフラストラクチャに接続し、MSPとの間のすべてのネットワーク・トラフィックを専用の安全な接続に制限します。
    MSPとの信頼関係に使用されるネットワークが、MSPの他のネットワークから適切に分離されて いることを確認する必要があります。
    契約上の合意により、MSPが複数の顧客間で管理者クレデンシャルを再利用しないことが明記されていることを確認する必要があります。

最小特権の実装

組織は、ネットワーク環境全体に最小特権の原則を適用し、管理者の役割を変更した場合は直ちに特権を更新する必要があります。
管理者アカウントには階層化モデルを使用し、不要なアクセスや特権を持たせないようにする必要があります。
企業全体で完全な特権を持つアカウントは、厳密に必要な場合にのみ使用し、時間ベースの特権を使用してその使用をさらに制限することも検討する必要があります。
リスクの高いデバイス、サービス、ユーザーを特定し、そのアクセスを最小化する必要があります。

  • MSPは、この原則を内部環境と顧客環境の両方に適用し、デフォルトの管理者特権を使用しないようにします。
  • 顧客は、MSPがプロバイダーと顧客の両方のネットワーク環境にこの原則を適用することを保証する必要がある。
    :顧客環境内にMSPアカウントの管理を提供する契約上の取り決めを実施し、契約にてMSPアカウントがMSPによって管理されているサービス/リソースへのアクセスのみを持つことを保証することを記載します。

廃止したアカウントやインフラの利用を停止

MSPと顧客の両方は、定期的にインターネット攻撃表面を見直し、人員の交代時にユーザー・ア カウントを無効にするなどして、攻撃表面を制限する措置を取るようにします。
:アカウントの共有は 推奨されないが、組織がこれを必要とする場合、人員の交代時に共有アカウントのパスワードを リセットする必要があります)。
組織はまた、MSPと顧客の境界にあるネットワーク・インフラストラクチャを特に注意して監査し、使用されていないシステムやサービスを特定して無効にする必要があります。
ポートスキャンツールおよび自動システムインベントリは、システムの役割と責任を確認する上で、組織を支援することができます。

  • 顧客は、インフラストラクチャの管理しなくなったMSPアカウントを必ず無効化してください。注:MSPアカウントの無効化は、契約終了時に見落とされる可能性があります。

更新の適用

組織は、オペレーティングシステム(OS)、アプリケーション、ファームウェアを含むソフトウェアを適宜更新する必要があります。
既知の悪用される脆弱性を含むソフトウェアに対して、セキュリティ更新プログラムを優先的に適用する必要があります。
:組織は、CISAの既知の悪用される脆弱性(KEV)のカタログに含まれる脆弱性へのパッチを優先的に適用する必要があります。

  • MSPは、内部ネットワークへのアップデートを可能な限り迅速に実施する必要があります。
  • 顧客は、ソフトウェア・アップデートに関するMSPの方針を理解し、包括的かつタイムリーなアップデートが継続的なサービスとして提供されるよう要求する必要があります。

システム、データのバックアップ

組織は、バックアップを定期的に更新し、テストする必要があります。
重要なシステムを再構築する必要がある場合に備えて、”Gold Image”もバックアップに含める必要があります。
:組織は、リカバリポイントの目標に基づいてバックアップの頻度を決定する必要があります。
バックアップを別々に保管し、ランサムウェアの拡散を可能にするネットワーク接続から隔離します。多くのランサムウェアの亜種は、アクセス可能なバックアップを見つけ出し、暗号化/削除しようとします。
バックアップを分離することで、万が一ランサムウェアで暗号化された場合でも、システム/データを以前の状態に復元することができます。
:ベストプラクティスは、バックアップを外部メディアなど別に保存することです。

  • MSPは、顧客データだけでなく内部データも定期的にバックアップし(契約上適切な場合)、オフラインのバックアップを個別のオフライン暗号キーで暗号化して維持する必要があります。
    プロバイダは、顧客に安全なオフサイト・バックアップを作成し、リカバリ能力を行使するよう奨励すべきです。
  • 顧客は、契約上の取り決めに、弾力性と災害復旧の要件を満たすバックアップサービスが含まれていることを確認する必要があります。
    具体的には、顧客は、重要なデータおよびシステム構成を自動的かつ継続的にバックアップし、バックアップを容易に検索可能な場所(例えば、クラウドベースのソリューションまたは組織のネットワークからエアギャップされた場所)に保存するバックアップソリューションを実装するよう、MSPに要求する必要があります。

インシデントレスポンスとリカバリープランの策定と演習

インシデント対応と復旧の計画には、経営者、技術責任者、調達責任者など、組織のすべての利害関係者の役割と責任を含める必要があります。
組織は、ネットワークがアクセス不能になった場合(例えば、ランサムウェア攻撃により)、対応者が計画にアクセスできるように、最新のハードコピーを保持する必要があります。

  • MSP は、社内のインシデント対応・復旧計画を策定し、定期的に実施し、顧客にも同じことを奨励するようにします。
  • 顧客は、契約上の取り決めに、レジリエンスおよび災害復旧の要件を満たすインシデント対応、復旧計画が含まれていることを確認する必要があります。
    顧客は、これらの計画が定期的にテストされることを確認する必要があります。

サプライチェーンリスクの把握と積極的な管理

すべての組織は、セキュリティ、法務、調達グループにわたってICTサプライチェーンのリスクを積極的に管理し、リスク評価によってリソースの割り当てを特定し、優先順位をつける必要があります。

  • MSPは、自社のサプライ・チェーン・リスクを理解し、それが顧客にもたらす連鎖的なリスクを管理する必要があります。
  • 顧客は、第三者のベンダーまたは下請け業者に関連するリスクを含め、MSPに関連するサプライ・チェーン・リスクを理解する必要があります。
    また、顧客は、MSPと明確なネットワーク・セキュリティに関する期待値を設定し、MSPが自社のネットワークとそこに格納されるデータへのアクセス権を適用する必要があります。
    各顧客は、契約上の取り決めが自社の特定のセキュリティ要件に適合していること、また、ハードニング、検知、インシデント対応などの特定の責任をMSPと顧客のどちらが負うかを契約で規定する必要があります。

透明性の促進

MSPとその顧客の双方が、責任を明確に定義する契約上の取り決めによって利益を得ることができるようにします。

  • MSPは、顧客と契約条件を交渉する際、顧客が利用するサービス、顧客が利用しないサービス、及びインシデント対応と復旧のためのすべての不測の事態について明確に説明する必要があります。
  • 顧客は、契約上の取り決めを通じてMSPが提供するセキュリティ・サービスを十分に理解し、契約の範囲外のセキュリティ要件に対処することを確認する必要があります。
    :契約は、顧客の環境に影響を及ぼすインシデントをMSPが顧客に通知する方法、タイミングの詳細を記載する必要があります。

アカウントの認証と認可の管理

すべての組織は、パスワードと権限管理のベストプラクティスを順守する必要があります。
アカウントのパスワードを変更した直後に認証に失敗した場合、そのアカウントは侵害されている可能性があります。
:ネットワーク防御者は、すべての機密アカウントでパスワード変更を行った後、ログを確認し、ネットワーク外の通信を使用してユーザーに変更を通知することで、このような”侵入”を積極的に探すことができます。

  • MSP は、顧客が MSP アカウントのアクセスを MSP が管理するシステムに制限して いることを確認する必要があります。
  • 顧客は、MSP アカウントが内部管理者グループに割り当てられないようにし、代わりに MSP アカウントを MSP が管理するシステムに制限します。
    最小特権の原則を使用して、”need to know”ベースでアクセスおよび管理者権限を付与します。
    監査により、MSP アカウントが適切な目的、活動に使用されていること、およびこれらのアカウントがアクティブに使用されていないときは無効化されていることを確認する必要があります。

おわりに

Qちゃん
Qちゃん

最近ではサプライチェーン攻撃といわれるマネージドサービスプロバイダー経由での侵害が増えています。

既存サービスの契約の確認、実装状況の確認を実施し、これらのリスクへの対策を実施ください。

コメント

  1. みけねこ屋 より:

    こんにちは、みけねこ屋です
    本日は、Twetterフォロワーさんのブログ巡りをしています。
    定期的に訪問させていただき、役に立つ情報を収集したり記事の書き方を勉強させて
    もらっています。

    これからもお互いにブログ運営がんばりましょうね(^^)/

    • popunpopun より:

      みけねこ屋さん、
      返信おそくなり、申し訳ありません。
      自分は始めたばかりでまだ収益もできていないので
      みけねこ屋さんのブログの方をぜひ参考にさせてもらいたいと思います。
      収益化できるまで頑張りたいと思います。

タイトルとURLをコピーしました