マネージドサービスプロバイダーを踏み台にする攻撃、利用企業がリスクを減らすためにできることは？

マネージドサービスプロバイダーの顧客のリスクを軽減するための米CISAからの提言

　ITシステムの運用・監視・保守の全てまたは一部を外部のマネージドサービスプロバイダー（Managed Service Provider、以下MSP）に委託するのは既に一般的ですが、その一方で、MSPを踏み台にして、その顧客である企業や組織を狙う攻撃も珍しくなくなってきています。ちなみに、このような攻撃もいわゆる「サプライチェーン攻撃」の一種とされています。

CISAが公開した「Risk Considerations for Managed Service Provider Customers」

　そのような中、米国土安全保障省（DHS）のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（Cybersecurity and Infrastructure Security Agency、以下CISA）は、MSPを利用している企業や組織（中小企業を含む）に向けて、MSPを介したリスクを軽減するために使えるフレームワークを「Risk Considerations for Managed Service Provider Customers」として公開しました。このフレームワークには、米国国立標準技術研究所（National Institute of Standards and Technology、以下NIST）やその他の権威ある情報源からのベストプラクティスや考察が盛り込まれており、全体的なリスクを軽減する役割を担う、以下の3つの主要な組織グループに対するガイダンスが用意されています。

　ただし、この3つの分類は流動的であり、組織によって異なる可能性があるので、このフレームワークを使う際には、その内容を自社の組織構造に合わせて最適化する必要があります。

　今回はこの3つのグループそれぞれに対するガイダンスから一部を抜粋して紹介します。なお、それぞれのガイダンスには中小企業向けの優先事項が含まれています。

（1）戦略的意思決定（Strategic Decision-Making）

　シニアエグゼクティブはMSPにITサービスを委託するかどうかを検討する際に、費用対効果および効率性と、信頼性およびセキュリティとの間でバランスをとらなければならない。ITサービスをアウトソーシングしても経営陣のリスク管理責任が免除されるわけではない。これらの優先順位のバランスをとるために、経営陣は自組織の業務を支えるテクノロジーとシステムに対する認識を維持しなければならない。また、組織の中核となるシステムやサービスの喪失の可能性、データの機密性・完全性・可用性の喪失、消費者や市場における信頼性の喪失、業務の中断による生産性の損失、罰金・弁護士費用・その他の規制コスト、その他の財務上の悪影響のリスクも理解していなければならない。さらに、ベンダーの財務状況やその他の属性が将来のサービス中断の可能性を示す指標となるため、組織はベンダー自体に対するリスクも考慮しなければならない。

　潜在的なインシデントに対するレジリエンスを構築するために組織は以下を行うことができる。

• 最高幹部の職務についてのプレイブック（戦略・定石集）を含む、インシデント対応計画の策定・維持・演習
• Cレベルの役員および取締役会向けにサイバーセキュリティの脅威に関する説明会を定期的に開催
• Cレベルの役員および取締役会に対して緩和策と教訓の分析を含むサイバーセキュリティインシデントの報告を提供
• サイバーリスクを定量化し、プログラムの有効性を測定し、同業他社と比較するためのリスクベースの重要業績評価指標（KPI）を開発

　 [中小企業向けの戦略的優先事項]
　中小企業は包括的な企業リスク管理計画を策定・維持するための財源や技術的な専門知識を持ち合わせていないかもしれないが、それでもMSPにITサービスを委託するかどうかを検討する際にはリスク管理上の判断を迫られることになる。

　中小企業は業務上で最も重要な資産を分類し、それらの資産に対するリスクを特徴づけるべきである。これによってベンダーとの契約に含めるべき資産、除外すべき資産の優先順位を決め、それらの資産に影響を及ぼすインシデントに対する具体的なコンティンジェンシープラン（緊急時対応計画）を策定することができる。

　中小企業のオーナーは潜在的なベンダー契約において以下の項目を決めることでリスク管理の意思決定を行うことができる。

• MSPはどのタスクと責任を負うのか？
• 中小企業が引き続き実行するのはどれか？
• どのタスクと責任を共有するのか？

（2）運用上の意思決定（Operational Decision-Making）

　調達・運用・継続性・セキュリティ要件を調整することで企業のサプライチェーンのリスクを軽減し、システムのパフォーマンスを向上させることになる。これらの機能のそれぞれに専任のスタッフがいる組織は、組織の壁を越えてIT要件を調整すべきである。小規模な組織やこれらの機能に特化したスタッフを持たない組織の場合、企業リスク管理計画は組織にとって適切な規模のリスク管理への統合的アプローチの一環としてこれらの各要件を考慮すべきである。

　 [中小企業向けの運用上の優先事項]
　中小企業のオーナーや経営陣は複数の役割とそれに伴う責任を担っている場合がある。また、CIO、CISO、その他のCレベルの役割は正式には存在しないことが多いが、関連する機能は肩書きに関係なく経営レベルで管理されている（または管理されるべきである）。これらの責任が組織内でどのように割り当てられていても、調達要件・運用要件・セキュリティ要件を確立して実施することで、リスクを減らし、混乱を最小限に抑え、組織のパフォーマンスを向上させることになる。

　具体的には、中小企業は契約締結前に組織の全ての部門（調達・運用・セキュリティなど）がMSPの要件について確実に意見を交わすようにすべきである。上記および「Vendor Supply Chain Risk Management（SCRM） Template」（CISA、2021年4月）に記載されている項目は出発点となるものだが、中小企業は組織全体から意見を募り、自社固有の組織要件がベンダー契約において確実に考慮されているようにすべきである。

（3）戦術的意思決定（Tactical Decision-Making）

　MSPにITサービスを委託している間も、ネットワークへのアクセス・制御・ログに関するポリシーと制御は引き続き組織の責任となる。組織はMSPの日々の活動を監視および管理する責任者を特定し、サードパーティのベンダーに与えられるアクセス権について慎重にポリシーを設定しなければならない。このようなポリシーの一般的な例としては、認証または検証のための明確な要件を設けることや制御およびログをベンダーの記録とは別に保持することなどが挙げられる。IT企業全体にわたるベンダーのログや活動の認証に関連する組織的なポリシーと実践は、MSPによる適切かつ認可された活動を保証すると同時に、無認可の活動からクライアントの利益を保護するのに役立つ。

　 [中小企業向けの戦術的優先事項]
　中小企業は効率化とコスト削減のためにIT要件をMSPに委託しているが、ITの責任をベンダーに完全に委ねることはできない。MSPにITサービスを委託している中小企業は自社システムへのアクセスを完全にコントロールし、ベンダーが同意する明確なポリシーを設定することで、ベンダーのアクセスを把握すべきである。また、中小企業はMSPの全ての活動のログを保持し、全ての重要なデータのバックアップをベンダーのストレージとは別にオフサイトで行うべきである。これらの要件はベンダーとの契約に盛り込まれ、定期的に検証されるべきである。

　今回公開されたCISAの資料はPDFで9ページ、参考資料などを除けば正味7ページと短くまとめられており、その内容も奇をてらったものではない、至極まっとうなものになっています。もちろん、理想主義に感じられる部分はあり、組織によっては文字通りに実現するのに相当の困難を伴う可能性があるのは否めませんが、まずは1つの「目安」として使ってみてください。

　今回は資料の一部を抜粋して紹介しただけですので、関係者の方には全文の一読をお勧めします。