US Cyber Safety Board to Review Cloud Attacks
2023/08/14 SecurityWeek — 8月11日 (金) に米国政府は、DHS (Homeland Security) のサイバー安全審査委員会 (CSRB:Cyber Safety Review Board) が、クラウド環境を標的とした悪意の攻撃に関する審査を実施すると発表した。このイニシアティブは、政府/産業界/CSP (Cloud Service Provider) に対して、クラウドにおける ID 管理と認証を改善するための、提言を行うことに重点を置くという。
当初の目的として、最近の Microsoft クラウド・ハックに焦点を当てるが、その後には、該当する CSP と顧客に影響を及ぼす、クラウドベースの ID および認証のインフラに関連する問題へと、その範囲を拡大する予定だという。
2023年7月の Microsoft インシデントを受けて、DHS は分析を検討してきた結果として、クラウド・コンピューティングの顧客と CSP にとって、サイバー・セキュリティを前進させる実用的な勧告が得られる見込みだと述べている。
DHS の Alejandro N. Mayorkas 長官は、「クラウドのセキュリティは、電子商取引のプラットフォームから通信ツール/重要インフラに至るまでの、我々にとって最も重要なシステムのバックボーンとなっている」と述べた。
同長官は「Log4j の脆弱性と、Lapsus$ に関連する活動のレビューにおいて CSRB は、このような重要かつタイムリーな問題に取り組み、検証する準備ができていることを証明した。CSRB からの実行可能な勧告は、すべての組織がデータの安全性を高め、サイバー耐性を強化するのに役立つ」と付け加えている。
国家のサイバー・セキュリティを強化する目的で、2022年2月に設立された CSRB は、主要なサイバー・インシデントに関する根本的な原因/緩和策/対応策などを検討することを任務とする官民イニシアチブである。
以前において、同委員会は、Log4j OSS ライブラリの脆弱性や、Lapsus$ 恐喝グループに関連する、最近の攻撃について検討してきた。
米国の独立系シンクタンクである Council on Foreign Relations (CFR) によると、SolarWinds 攻撃などの重大インシデントについても、CSRB は調査すべきだという。
この記事は、2023/08/11 の「Exchange をハッキングする中国の Storm-0558:米政府と Microsoft が共同で分析」と、ちょっと被ってしまいました・・・ Microsoft を使っていて侵害されたのなら仕方ないという、免罪符的な何かが、崩れていくようにも思えてくる、最近のトレンドです。
You must be logged in to post a comment.