概要

  • Cognizant は2020年4月、自社のシステムを含むセキュリティインシデントが、一部のクライアントにサービス障害を引き起こし、それが Maze ランサムウェア攻撃の結果であることを確認した。同社はクライアントとコミュニケーションを取り、侵害指標(IoC)と技術的防御情報を共有したと述べている。
  • 説明責任の焦点は、マネージドサービスの分離、エンドポイントの封じ込め、クライアントコミュニケーション、復旧の優先順位、コスト開示、顧客証拠、そして Cognizant システムとクライアント環境の境界について、誰が実質的な管理権を握っていたかである。
  • その後の公開資料では、この事象を、特定のデータへの不正アクセスを引き起こし、一部のクライアントサービスに影響を与え、封じ込めと修復コストを発生させ、パンデミック期の在宅勤務圧力と交差する事業中断として位置づけた。
  • 公開記録は、すべてのクライアントの露出、攻撃者の行動、フォレンジックの詳細が公知であると見せかけることを支持しない。しかし、プロバイダーの中断がクライアントのリスク事象となり得るため、この事象を IT サービス継続性の事例として扱うことは支持している。
  • クライアント、アウトソーシングされた運用チーム、従業員、投資家、保険会社、顧客セキュリティチームは、プロバイダーのランサムウェア事象が、自社の継続性、アクセス、証拠の前提を変化させたかどうかを評価せざるを得なかった。

証拠記録とその活用方法

本記事では公開記録を階層的な証拠として扱う。Cognizant の声明、投資家向け資料、SEC 提出書類は、同社が Maze ランサムウェア攻撃、サービス障害、封じ込め、修復、財務的影響、クライアントコミュニケーションについて公に述べた内容のために使用される。セキュリティおよびテクノロジー関連の報道は、不確実性を保持しつつ、公開された時系列、顧客の懸念、同時代の解釈のために用いられる。政府のガイダンス、敵対者の技術参照、管理フレームワークは、プロバイダー自身の環境がクライアントの継続性に影響を及ぼし得る場合に生じる責務を説明するために使用される。

#公開記録本分析での用途
1Cognizant セキュリティインシデント最新情報Maze ランサムウェア、一部のクライアントサービス障害、法執行機関の関与、防御指標や防御情報の共有を確認した Cognizant の主要声明。
2Cognizant 2020年第1四半期決算封じ込めに関する文言、事業継続性の背景、将来リスクに関する前向きな表現を含む、同社の決算発表。
3Cognizant 2020年第2四半期決算連続的な復旧、サービス需要の背景、ランサムウェアの収益・業務への影響を含む、同社の決算発表。
4Cognizant 2020年第1四半期収益補足資料第2四半期のランサムウェア影響額の予想範囲と経営陣の公的見解を示す投資家向け資料。
5Cognizant 2020年第2四半期 Form 10-Q PDF発生費用、修復、セキュリティ投資、継続的な財務リスクに関する文言を含む提出書類。
6Cognizant 2020年第1四半期 Form 10-Q不正アクセス、サービス障害、クライアントアクセス停止、封じ込め、復旧、保険リスクに関する文言を含む SEC 提出書類。
7Cognizant 2020 Form 10-K後の段階での封じ込め、根絶、年間の財務的影響、継続的なセキュリティリスク開示を含む年次報告書。
8BleepingComputer による Cognizant Maze ランサムウェア報道最初の公開時系列とプロバイダー規模の背景に用いたセキュリティ報道。
9TechCrunch による Cognizant Maze ランサムウェア報道公的確認と顧客障害の枠組みに用いたテクノロジー報道。
10CIO Dive によるサービス障害報道サービス障害と指標共有の背景に用いた業界メディア報道。
11CIO Dive による予想財務影響報道公にされた第2四半期5,000万~7,000万ドルの影響に関する議論に用いた業界メディア報道。
12CRN による封じ込めとクリーンアップ費用報道顧客との電話、修復費用の議論、顧客安心の背景に用いたチャネルメディア報道。
13SecurityWeek による攻撃で盗まれたデータに関する報道後の段階でのデータ露出の次元とクライアント通知の背景に用いたセキュリティ報道。ただし、クライアント別の全詳細は不明。
14BankInfoSecurity による Cognizant 障害報道障害、Maze の背景、クライアントコミュニケーションに用いたセキュリティ報道。
15MSSP Alert による Cognizant 復旧状況更新対応マイルストーン、指標、クライアントコール、復旧枠組みに用いたマネージドサービス報道。
16CISA StopRansomware ガイドランサムウェアの準備、対応、復旧、コミュニケーションの責務を示す政府ガイダンス。
17CISA によるマネージドサービスプロバイダー脅威勧告プロバイダーとクライアント間のアクセスパス、セグメンテーション、監視の責務を整理する政府勧告。
18MITRE ATT&CK データ暗号化による影響技術ランサムウェア暗号化と運用妨害に関する技術リファレンス。
19MITRE ATT&CK システム復旧妨害技術復旧能力に対する攻撃に関する技術リファレンス。
20MITRE ATT&CK 有効なアカウント技術プロバイダー環境における認証情報と信頼アクセスのリスクに関する技術リファレンス。
21NIST サイバーセキュリティフレームワーク識別、防御、検知、対応、復旧に関する用語整理のための標準リファレンス。
22CIS 重要セキュリティ管理策インベントリ、アカウント、ログ、復旧、サービスプロバイダー、セキュリティ監視に関する管理策リファレンス。

プロバイダーのランサムウェアインシデントがクライアントリスク事象となった理由

Cognizant の2020年 Maze ランサムウェアインシデントが重要なのは、Cognizant が単に自社ファイルを復旧しようとする別の企業ではなかったからだ。同社は、他の組織向けの IT サービスおよびプロフェッショナルサービスプロバイダーだった。その役割が実際上の利害を変える。プロバイダーは、運用知識、サポートアクセス、サービスデスクのワークフロー、プロジェクト記録、マネージドインフラ資格情報、クライアントネットワークへの接続性、そしてクライアントがアウトソーシングされたプロセスを稼働させ続けるために必要な信頼を保持しうる。プロバイダーがランサムウェアに攻撃された場合、クライアントはプロバイダーが復旧できるかどうかだけを問うのではない。プロバイダーのアクセス、プロバイダーのツール、プロバイダーの証拠が、自らの露出を変えたかどうかを問うのである。

Cognizant の最初の公表では、自社システムを含むセキュリティインシデントが一部のクライアントにサービス障害を引き起こし、それが Maze ランサムウェア攻撃の結果であると述べた。同社はクライアントとコミュニケーションをとり、侵害指標と技術的防御情報を提供したと述べた。その声明は短いが、説明責任の枠組み全体を含んでいる。インシデントは Cognizant システムを巻き込んだ。一部のクライアントサービスに影響を与えた。クライアントは防御情報を受け取った。法執行機関と外部専門家が対応の一部となった。したがって、プロバイダー側のインシデントは直ちにクライアント側の業務に波及した。

有益な問いは、ランサムウェアが悪いかどうかではない。誰が証拠と復旧の選択を管理したかである。Cognizant は、影響を受けたシステム、フォレンジック調査、封じ込め、復旧の優先順位、クライアントコミュニケーション、財務開示を管理した。クライアントは、Cognizant アクセスを維持または停止する判断、ログの確認、継続性計画の発動、プロバイダー活動を信頼できると見なすかリスクと見なすかの判断を管理した。投資家と保険会社は、Cognizant の公的開示に依存して、費用、事業中断、継続リスクを見積もった。

だからこそ、このインシデントは単純な侵害ラベルではなく、説明責任のテストなのだ。ランサムウェアイベントはしばしば「システムが暗号化された」という一つの見出しに集約される。プロバイダーイベントはより広範な地図を必要とする。どのサービスが中断されたか?どのクライアントがサービスを失ったか?どのクライアントが予防措置としてプロバイダーアクセスを停止したか?どのプロバイダーシステムがクライアントデータを保持していたか?どのクライアント環境が接続されたままだったか?どのシステムがパンデミック下の在宅勤務能力を支えていたか?どの復旧判断が、他のクライアントへのリスクを増大させることなく最多のクライアントを保護したか?公開記録はこれらの問いの一部に答え、他は非公開のままである。

公開記録が立証すること

公開記録はいくつかの事項を高い確度で立証している。Cognizant は2020年4月に公に Maze ランサムウェアを確認した。同社は一部のクライアントにサービス障害が発生したと述べた。同社はクライアントとコミュニケーションを取り、指標と防御情報を共有していると述べた。その後、同社の第1四半期提出書類は、この攻撃が特定のデータへの不正アクセスをもたらし、事業に重大な障害を引き起こしたと述べた。また、一部のクライアントにサービス障害が生じたのは、Cognizant がクライアントワークの実行を影響を受けたシステムとネットワークに依存しており、在宅勤務能力を支えるシステムも影響を受けたためと述べた。さらに、一部のクライアントがセキュリティ予防措置として Cognizant の自社ネットワークへのアクセスを停止したと付け加えた。

これらの事実は、このインシデントを継続性分析の上で重要と位置づけるに十分である。クライアントがプロバイダーのアクセスを停止すれば、サイバーリスクは低下するがサービス提供を失うかもしれない。プロバイダーがアクセスを継続すれば、クライアントは運用を維持できるが、プロバイダーの封じ込め証拠を信頼しなければならない。このトレードオフは理論上のものではない。Cognizant の提出書類は、クライアントが予防的に停止を選んだ場合、アクセスが復旧されるまでクライアントネットワーク経由のサービス提供を継続できないことを明示的に記述している。プロバイダーの復旧とクライアントのリスク許容度は結びついていた。

公開記録はまた、財務上の重要性も立証している。Cognizant の投資家向け資料と公開決算は、ランサムウェアインシデントによる予想および実際の財務的影響について議論した。業界メディア報道は、経営陣のコメントから、第2四半期に5,000万ドルから7,000万ドルの影響が公に議論されたことを伝えた。後の提出書類は、調査、封じ込め、修復、法的・専門家費用、セキュリティ改善、保険金の限度の可能性にかかる費用に言及した。要点は、インシデントをコスト欄に還元することではない。要点は、対応が経営陣の関心、クライアントの信頼、資金を消費したということである。

記録は、すべての私的事実を立証するわけではない。影響を受けたクライアント、システム、ファイル、エンドポイント、アカウント、または全データカテゴリの公的なリストを提供しない。完全なフォレンジック所見やすべてのクライアント別通知を公表しない。SecurityWeek は後に、Cognizant が個人特定情報や財務情報が窃取されたとクライアントに通知したと報じた。本記事はその報道をデータ露出の文脈として使用するが、クライアント別の完全な公開台帳としては使用しない。Cognizant の提出書類の方が、公開企業としての立場や事業影響についてのより強い情報源である。

したがって、公開記録に基づく最も強い結論は正確なものとなる。Cognizant の Maze インシデントは、プロバイダーシステム、クライアントサービス提供、クライアントアクセス決定、フォレンジック証拠、財務開示が公開記録で結びついたために、IT サービスの継続性に関する説明責任の試金石となったのである。

サービス境界こそが中心的な信頼対象だった

中心的な信頼対象は、サーバーやデータベースだけではなかった。それは Cognizant とクライアントとの間のサービス境界だった。その境界には、ID、リモートアクセス、プロジェクトシステム、デリバリーツール、クライアント接続性、文書化、コミュニケーション、そしてアウトソーシングワークが実行される人的関係が含まれる。Cognizant 自身の環境が侵害されたとき、その境界は再検証されなければならなかった。クライアントは、Cognizant の自社ネットワークへのアクセスが安全なままか、Cognizant 提供のサービスが継続できるか、Cognizant の証拠が自社の判断を支えるのに十分かどうかを知る必要があった。

これは、マネージドサービスプロバイダーが魅力的な標的となるのと同じロジックである。プロバイダーは、専門知識と反復可能なアクセスを集中させるために価値がある。プロバイダーは、侵害中に同じ理由でリスクとなり得る。CISA のマネージドサービス勧告は、一般的に、プロバイダーとクライアント間の信頼パスと、監視、セグメンテーション、アクセス制御の必要性について警告している。そのガイダンスは Cognizant に関するいかなる私的事実も証明しない。それは、クライアントが、自らに明白な損害がなくとも、なぜインシデントを深刻に受け止めなければならなかったかを説明する。

サービス境界には二つの側面がある。Cognizant は自社システムを封じ込めて復旧する必要があった。クライアントは、アクセスを維持するか、制限するか、監視するか、または停止するかを判断する必要があった。クライアントがアクセス停止を決定するのは賢明かもしれないが、コストがかかる。プロバイダーはそのアクセスなしには一部のサービスを提供できない。提出書類の文言はそのトレードオフを可視化する。クライアントがアクセスを停止したとき、Cognizant はアクセスが復旧されるまでクライアントネットワーク経由のサービス提供を継続できなかった。つまり、サイバーセキュリティの封じ込めとサービスの継続性は別々の作業の流れではなかった。それらは同じビジネス課題だった。

証拠が境界を管理可能にする。プロバイダーはクライアントに、どのシステムが影響を受けたか、どのアカウントが無効化されたか、どの指標を検索すべきか、どの時間枠が重要か、どのクラアント向けサービスが対象内外かを伝えることができる。クライアントはそれに基づきログをレビューし、プロバイダーアカウントを監視し、アクセスに関するリスク判断を下し、その理由を文書化できる。証拠なしでは、クライアントは広く信頼するか、広く遮断するしかない。どちらの選択肢にもコストが伴う。

したがって、説明責任の問いは実質的な管理である。Cognizant はプロバイダー側の証拠の大部分を管理していた。クライアントは自らのアクセス判断を管理していた。証拠交換が良質であるほど、継続性への衝撃は小さくなる。

ランサムウェア圧力下での封じ込め

ランサムウェアの封じ込めは通常のクリーンアップとは異なる。なぜなら敵対者が依然として活動している可能性があり、システムが暗号化または隔離されている可能性があり、復旧システムが標的にされ得るからである。MITRE のデータ暗号化による影響技術およびシステム復旧妨害技術は、攻撃者の一般的な目的を示す。すなわち、データやシステムを使用不可にし、復旧を困難にすることである。CISA のランサムウェアガイダンスも同様に、準備、封じ込め、バックアップ、コミュニケーション、復旧を強調する。プロバイダーの場合、これらの作業は、クライアントがプロバイダーに引き続き依存できるかどうかを問いかけている最中に発生する。

Cognizant の公的声明は早期から封じ込めの文言を用いた。第1四半期の決算発表では、攻撃を封じ込めており、アクターはもはや自社環境で活動していないと述べた。提出書類では、進行中の調査と復旧についてより慎重な文言を用いた。後の年次報告書の文言では、修復措置と監視に基づき、攻撃を封じ込め、攻撃者の活動残存物を環境から根絶したと信じると述べている。この文言の変化は重要だ。初期の封じ込めは作業評価である。追加監視に支えられた後の根絶文言は、より強い主張である。

クライアントにとって、封じ込めの主張は意思決定に変換されなければならない。Cognizant が攻撃者はもはや環境内で活動していないと言うなら、プロバイダーアクセスを復旧することを裏付ける証拠は何か?影響を受けたアカウントは無効化されたか?リモートアクセスパスはレビューされたか?エンドポイントは再構築されたか?特権的な資格情報はローテーションされたか?クライアントデリバリーを支援するシステムは再接続前に検証されたか?クライアント向けツールは影響を受けたシステムから分離されたか?公開記録がすべての質問に答えるわけではないが、それらの質問がクライアントコールや防御情報共有に含まれるべき理由を示している。

ランサムウェアはまた、迅速な復旧への圧力を生み出す。ダウンタイムの1時間ごとに、収益が減少し、サービス期待が損なわれ、クライアントプロセスが中断され、従業員の混乱が生じ得る。しかし、速度は保証と衝突し得る。急ぎの再接続は、攻撃者の足場や損傷したシステムを保持したままサービスを復旧し得る。遅い復旧は完全性を保護するが、クライアントの中断を延長し得る。説明責任とは、そのトレードオフを明示的にすることだ。どのサービスが最初に復旧されたか?再接続前にどの管理策が証明される必要があったか?どのクライアントが残余リスクを受け入れたか?どのクライアントが更なる証拠が得られるまでアクセスを停止したか?

公開記録が与えるのは完全な手順書ではなく概略である。それは通常である。説明責任の教訓は、プロバイダーが事後にクライアント、監査人、保険会社、取締役会のためにその手順書を再構築できるべきだということだ。

クライアントコミュニケーションは制御システムの一部だった

Cognizant の最初のアップデートは、クライアントと継続的にコミュニケーションをとり、指標と防御的な技術情報を提供したと述べた。これは単なる PR 文言ではない。プロバイダーインシデントでは、コミュニケーションは制御システムの一部である。プロバイダーが指標、時間枠、影響を受けたアクセスパス、推奨される行動を提供しなければ、クライアントは関連する活動を検索できない。プロバイダーが既知と未知を説明しなければ、アクセス停止を決定することもできない。

指標は有用だが、完全な通知ではない。クライアントは文脈を必要とする。その指標が、初期アクセス、水平移動、暗号化、C2 インフラ、資格情報の使用、侵害後の活動のいずれに関連するのか。時間的期間が必要だ。その指標がプロバイダーシステム内でのみ観測されたのか、クライアント環境にも関連するのかを知る必要がある。フォローアップの連絡先が必要だ。生のリストはセキュリティチームを助け得るが、意思決定者には説明責任のナラティブも必要である。

業界メディアは、Cognizant がクライアントと電話会議を開き、多数の個別のクライアント会話を行ったと報じた。これはイベントの規模と重大性に整合する。グローバルなクライアントを持つプロバイダーは、一回の公表に頼ることはできない。異なるクライアントは、異なるサービス、アクセスモデル、契約上の義務、規制上の義務、リスク許容度を持つ。医療クライアント、金融サービス機関のクライアント、小売クライアント、小規模ビジネスプロセスのクライアントは、異なる証拠パッケージを必要とするかもしれない。

また、コミュニケーションは運用障害の最中にも機能しなければならなかった。ランサムウェアはメール、ディレクトリ、コラボレーションツール、チケットシステム、サポートチャネルに影響を与え得る。インシデント周辺の報道は、一部のチャネルでのコミュニケーション障害について記述した。それらの報道のすべての詳細が公開提出書類から確認できるかどうかは別として、一般的な教訓は明らかだ。プロバイダーのインシデントコミュニケーション計画は、インシデント中に無効化され得るシステムだけに依存してはならない。代替のクライアント連絡先リスト、検証済みの帯域外チャネル、エグゼクティブブリッジ、事前に調整されたセキュリティ連絡先が混乱を減らす。

説明責任の基準は、初日から完全な知識ではない。それは段階的な正直さである。何が確認されたか、何が調査中か、クライアントが今すべきこと、想定すべきでないこと、次のアップデートがいつ来るか。そのコミュニケーション規律はセキュリティ制御である。

財務開示がレジリエンスを測定可能にした

公開企業の開示は技術的な事後分析ではないが、セキュリティのナラティブでは難しい方法でレジリエンスを測定可能にし得る。Cognizant の提出書類は、事業中断、予想される第2四半期の影響、逸失収益、封じ込めと修復の費用、法的・専門家費用、セキュリティ投資、保険の不確実性、否定的な評判、信用の失墜、顧客からの信頼喪失、規制措置、訴訟、保険会社との紛争について記述した。その文言は、提出書類がリスクをカバーするものであるから広範である。また、ランサムウェアイベントがサービス事業をどのように通過するかを示すためにも有用である。

財務的次元が説明責任にとって重要な理由は三つある。第一に、それは経営陣に技術的対応を事業運営に結びつけることを強いる。プロバイダーはインシデントが封じ込められたと言えるが、収益への影響、クライアントサービス中断、修復費用は、封じ込めが事業復旧に結びついたかどうかを示す。第二に、それはクライアントと投資家が期間を理解するのを助ける。一日の見出しが、四半期または年間にわたる費用を生み出す可能性がある。第三に、どの費用が不確実であるかを明らかにする。保険はすべてをカバーしないかもしれず、法的請求が生じる可能性があり、セキュリティ投資はサービス再開後も長期間続く可能性がある。

公的に議論された第2四半期の5,000万ドルから7,000万ドルの影響は注意深く読むべきである。それは、ランサムウェアによる収益と対応する利益率への予想影響を述べたものであり、すべての結果の完全な生涯コストではない。第2四半期の提出書類は、後に、攻撃に関連して発生した費用と、修復とセキュリティ強化のための継続的な重要な増分費用に言及した。年次報告書は、このインシデントを、パンデミックや事業撤退を含む2020年の業績に影響を与えた複数の要因の中に位置づけた。慎重な読者はこれらのカテゴリを気軽に混同すべきではない。

それでも、財務記録は、これが軽微なシステムイベントではなく、重要な経営課題であったことを確認する。それは、サービス提供、収益、費用、リスク開示に影響を与えた。クライアントにとって、それは財務的に重要なプロバイダーインシデントが、人員配置、サービスレベルパフォーマンス、投資優先順位、契約上の信頼に影響を与え得るために重要である。保険会社にとっては、補償範囲、修復費用、事業中断の請求が争点となる領域になるために重要である。

財務開示は、どのクライアントシステムが露出したかには答えない。それは、プロバイダーの復旧とクライアントの継続性が経済的に結びついていることを示す。

データ露出と公的確実性の限界

2020年のランサムウェアは、暗号化と共にデータ窃取をますます伴うようになっていた。Maze は特に、窃取されたデータを主張する圧力戦術と関連付けられるようになった。Cognizant のケースでは、公開記録は、攻撃が特定のデータへの不正アクセスをもたらしたという提出書類の文言を含んでいる。SecurityWeek は後に、Cognizant が窃取された個人情報および財務情報についてクライアントに通知したと報じた。本記事はこれらの記録を用いてデータ露出の次元を認識する。本記事は、公開記録がすべての影響を受けたデータセット、人物、クライアントを明らかにしていると見せかけるものではない。

この区別が重要であるのは、プロバイダーインシデントがデータカテゴリを曖昧にし得るからだ。プロバイダーは、自社の従業員データ、企業データ、クライアントプロジェクト資料、認証情報、サービスレコード、チケット情報、またはクライアントのために処理されたデータを保持し得る。各カテゴリは異なる義務を生み出す。従業員データは従業員通知と規制上の取扱いを必要とし得る。クライアントデータは契約上の通知とクライアント主導の下流行動を必要とし得る。プロジェクト文書は、個人データでなくともアーキテクチャやアクセスパスを明らかにし得る。認証情報や秘密は即時のローテーションを必要とする。公開提出書類がこれらすべてを分解することは稀である。

したがって、クライアントは調整された証拠を必要とした。影響を受けたデータに自社データが含まれていたか?自社環境に触れた Cognizant の認証情報が含まれていたか?プロジェクト文書やサポートチケットが含まれていたか?自社の従業員や顧客の個人情報や財務データが含まれていたか?Cognizant の防御情報には、データアクセスの可能性に関連する指標が含まれていたか?これらは学術的な問いではない。それらは、クライアントが自社のインシデントを立ち上げるか、規制当局に通知するか、鍵をローテーションするか、アクセスを改訂するか、契約上の救済を求めるかを決定する。

公的な不確実性は、むやみな警戒心または慰めで埋められるべきではない。警戒心は、すべてのクライアントが同じ方法で露出したと仮定するだろう。慰めは、公的な詳細の欠如をリスクの欠如として扱うだろう。責任ある立場は、Cognizant がプロバイダー側の証拠の多くを管理しており、クライアントは顧客固有の回答を必要としたということだ。一部の詳細が非公開のままであることは、生のランサムウェア対応において理解可能である。それはまた、外部の説明責任が、創り出された具体的事実ではなく証拠義務に焦点を当てなければならないことを意味する。

プロバイダーの義務は、クライアントが関連事実を独立に見ることができない領域で最も強い。クライアントは自社のログをレビューできる。Cognizant が証拠を共有しない限り、Cognizant のエンドポイント、ファイル共有、ID システム、フォレンジックイメージ、復旧手順を検査することはできない。その不均衡がデータ露出問題の核心である。

セキュリティオートメーションと復旧の優先順位

セキュリティオートメーションは、この記録において助けにもリスクにも見える。大規模 IT サービスプロバイダーは、自動化された ID システム、エンドポイント検出、ソフトウェア配布、リモート管理、チケット発行、監視、サービスオーケストレーション、バックアッププロセス、クライアントレポートシステムに依存する。ランサムウェア対応中、オートメーションはエンドポイントを隔離し、指標を配布し、資格情報を無効化し、システムを再構築し、安全が確認された構成を復旧できる。また、悪い状態を伝播させ、依存関係がダウンしているために失敗し、攻撃者が監視を無効にした場合に盲点を作り出す可能性もある。

公開記録は、関与したすべての Cognizant ツールを特定しない。説明責任の問いにはそれをする必要はない。問題は、オートメーションが検証可能な封じ込めと復旧の証拠を生み出したかどうかである。Cognizant は、どのエンドポイントが影響を受けたか、どのアカウントが使われたか、どのシステムが予防措置としてオフラインにされたか、どのクライアント向けツールが安全に復旧可能か、どのバックアップがクリーンか、どの監視が攻撃者がもはや活動していないことを示したか、どのシステムが再接続前に新しい制御を必要としたかを伝えることができたか?

オートメーションはまた復旧優先順位にも影響する。プロバイダーは安全にすべてを一度に復旧することはできない。どのサービス、地域、クライアント、サポート機能が先に戻るかを選ばなければならない。これらの選択は、重要度、クライアント影響、封じ込めの確実性、依存関係の順序、証拠の品質に基づくべきである。多数のクライアントを支えるサービスは高優先度かもしれないが、検証できなければ、早すぎる復旧はより大きなリスクを生み出す可能性がある。小規模なクライアントプロセスは、医療、決済、物流、公共サービスを支えている場合、運用上緊急かもしれない。復旧優先順位は説明責任上の決定であり、単なる技術的なキューではない。

クライアントはそのロジックの可視性を必要とする。すべてのシステム詳細は必要としないが、自社のサービスが技術的封じ込め、アクセス停止、リソース不足、商業的トリアージのために遅れているのかを知る必要がある。予想復旧ウィンドウと暫定的な回避策が必要である。アウトソーシングモデルでは、プロバイダーのオートメーションと復旧選択が、クライアントが運用を継続できるかどうかを決定し得る。

これが、セキュリティオートメーションというマニフェストトピックが本ケースに適合する理由である。オートメーションは魔法の盾ではない。それが証拠を生み出し、境界を保護し、圧力下での規律ある復旧を支援できるときに、説明責任を果たす。

純粋なクラウドプラットフォーム侵害ではないがクラウド依存

Cognizant のインシデントはパブリッククラウドのコントロールプレーンの停止ではなかったが、クラウド依存性は依然として枠組みに含まれる。IT サービスプロバイダーは、ホストされたコラボレーション、ID、チケット発行、リモートアクセス、クライアントポータル、セキュリティ監視、クラウド配信のビジネスプロセスシステムを通じて運用する。クライアントはしばしば、基礎となる作業が人、アプリケーション、ネットワーク、クライアント固有の運用にわたる場合でも、プロバイダーをサービスとして消費する。したがって、プロバイダーの環境へのランサムウェア被害は、パブリッククラウドプロバイダーが故障しなくても、クラウドを介した作業を中断させ得る。

Cognizant の提出書類は、クライアントのための作業を実行するために影響を受けたシステムとネットワーク、および在宅勤務能力を支えるシステムへの依存に言及した。2020年4月、その在宅勤務の文脈は付随的なものではなかった。COVID-19 パンデミックはすでにグローバルサービス全体の提供前提を変えていた。プロバイダーの復旧は、従業員とクライアントがリモート運用に適応している最中に行われなければならなかった。それにより、ID、デバイス管理、コラボレーション、リモートサポートがより中心的なものとなった。

クラウド依存性はまた証拠期待も変える。クライアントは自社のテナントやネットワーク内でプロバイダーアカウントを見るかもしれないが、プロバイダー自身のエンドポイント状態、ID ログ、サポートチケット、監視アラートを見ることはできないかもしれない。プロバイダーは、ログ、保持ルール、アクセス制御が従来のオンプレミスシステムとは異なる SaaS ツールを通じてクライアント向け作業を実行するかもしれない。それらのツールが影響を受けた場合、クライアントは、何がダウンし、何が侵害され、何が復旧されたかについて明確な説明を必要とする。

これは、すべてのクライアントクラウドシステムが影響を受けたことを意味しない。公開記録はその主張を支持しない。それは、プロバイダー依存性がもはやデータセンターやオフィスネットワークに限定されないことを意味する。それは、ID、コラボレーション、マネージドサービス、クラウドベースのツールを通じて移動する。したがって、プロバイダーのランサムウェアイベントは、クライアントに、クラウドアクセス、サービスアカウント、リモートサポートツール、アウトソーシングされたプロセスの継続性をレビューさせることになり得る。

中小企業のクライアントにとって、その依存性は深刻になり得る。深い内部スタッフを欠くために、インフラ、サポート、ビジネスプロセス、アプリケーション保守をアウトソーシングするかもしれない。プロバイダーが中断されたとき、限られたリソースで突然ベンダーリスクとインシデント対応の作業を実行しなければならない。それが Cognizant ケースの中でも、中小企業のサービス継続性の次元である。

クライアントがアクセス停止を決定すること

Cognizant の提出書類における最も明らかな詳細の一つは、一部のクライアントがセキュリティ予防措置として Cognizant の自社ネットワークへのアクセスを停止したことである。その一つの事実は、プロバイダーインシデントが二面性のある継続性問題を生み出すことを示している。クライアントは、プロバイダーが安全であるとまだ確信できないため、アクセスを停止するのは正しいかもしれない。プロバイダーは、クライアントネットワークアクセスを必要とするサービスを提供できなくなるかもしれない。クライアントを保護する行動が、同時にクライアントを中断させ得る。

正しい決定は証拠とサービスの重要度に依存する。プロバイダーアカウントが侵害の疑いがある場合、停止が必要かもしれない。プロバイダーが関連アクセスパスが影響を受けておらず、監視が行われていることを示せるなら、追加制御下での継続アクセスが合理的かもしれない。サービスがミッションクリティカルなら、クライアントは完全停止ではなく制限付きアクセスモデルを選ぶかもしれない。サービスが非クリティカルなら、クライアントはより強い証拠を待つかもしれない。すべてのクライアントに単一の答えはない。

説明責任の失敗は、クライアントに「すべてを信頼するか、すべてを遮断するか」の二者択一だけを残すことにある。成熟したプロバイダーアクセスは段階的な制御をサポートすべきである。クライアントは、特権操作を制限し、セッションの承認を求め、特定のシステムへのアクセスを制限し、ログ記録を増加させ、資格情報をローテーションし、共有アカウントを無効にし、読み取り専用サポートに移行できるべきである。プロバイダーは可能な限りそれらの制限下で運用できるべきである。契約とアーキテクチャは、インシデント前にこの状態を予想すべきである。

Cognizant の公開記録は、すべてのクライアント判断を示していない。それは、一部のクライアントが予防的管理を行使したことを示している。それは、プロバイダー対応がプロバイダーの事業だけであるという考えを打ち消すために重要である。クライアントは能動的なリスク所有者である。サプライヤーアクセスが引き続き許容可能かどうかを決定でき、決定すべきである。しかし、効率的に決定するためにプロバイダーの証拠を必要とする。

アクセス停止の詳細はまた財務的解釈にも影響する。逸失収益やサービス障害は、直接の技術的損害、プロバイダーの予防的シャットダウン、またはクライアントのアクセス停止から生じ得る。これらは異なるメカニズムである。優れた説明責任レビューは、それぞれが異なる将来の制御を必要とするため、これらを分離する。

事業継続性はバックアップ復旧と同じではない

ランサムウェア復旧はしばしばバックアップに集中するが、事業継続性はより広範である。プロバイダーは、クライアントの信頼、人員配置、コミュニケーション、サービスレベルパフォーマンス、安全なアクセス、証拠交換を復旧せずにファイルを復旧できる。Cognizant のインシデントはパンデミック下の混乱中に発生し、それが継続性をさらに複雑にした。従業員はリモートワークに移行し、クライアントは自らの運用ストレスに直面し、デジタルサービスへの需要は変化していた。ランサムウェアイベントは清浄な実験室で起こったのではない。

IT サービスプロバイダーにとって事業継続性は、デリバリー能力、リモートアクセス、サポートエスカレーション、クライアントコミュニケーション、請求と契約管理、従業員コラボレーション、安全なエンドポイント利用可能性、どのシステムが安全であるかを証明する能力を含む。また、クライアントとサービス間の優先順位付けも含む。プロバイダーは、一部のクライアント固有のサービスが依然として劣化したまま、高レベルの運用を復旧できるかもしれない。運用が改善しているという公的声明は、必ずしもすべてのクライアントプロセスが復旧したことを意味しない。

提出書類は、収益、費用、クライアントアクセス、サービス障害の文言を通じてこれを可視化する。この攻撃は、一部のクライアントにサービスを提供する Cognizant の能力を妨害し、調査、封じ込め、修復、セキュリティ改善のための費用を生み出した。その後の決算は、復旧と継続的なビジネス状況について論じた。それが、サービス企業におけるランサムウェアの実際の形である。復旧は、技術的前提条件を伴うビジネスプロセスである。

クライアントは、プロバイダーの継続性をプロバイダーステータスだけでなくサービスアウトカムによって測定すべきである。プロバイダーは契約上の作業を実行できるか?安全に実行できるか?信頼できるチャネルを通じてコミュニケーションできるか?プロバイダーアクセスがクリーンであることを証明できるか?サービスレベルを満たすか、暫定的な回避策を提供できるか?クライアントにどの残余リスクが残っているかを伝えることができるか?これらの質問は、プロバイダーのネットワークが単に立ち上がっているかどうかを尋ねるよりも有益である。

同様に、プロバイダーは敵対的条件下で継続性をテストすべきである。通常の災害復旧演習は、システムは故障するが ID は信頼できるままであると仮定し得る。ランサムウェア演習は、ID、エンドポイント、バックアップ、監視が疑わしい可能性があると仮定しなければならない。また、証拠を受け取るまでクライアントがアクセスを停止するかもしれないと想定しなければならない。それはより困難なテストであり、より良いテストである。

保険、訴訟、信頼のコスト

Cognizant の提出書類は、否定的な評判、評判の損傷、顧客からの信頼喪失、規制執行、訴訟、和解、保険会社との紛争を含む潜在的な結果を記述した。これらは大規模なランサムウェアインシデントの文脈において定型句ではない。それらは、復旧後に続く二次的な説明責任市場を記述している。システムが復旧された後も、当事者は費用配分、契約上の義務、証拠の十分性、通知のタイミング、損失がカバーされるかどうかについて議論し続ける。

保険は、ランサムウェアの費用がきれいに一つのバケツに入らないため重要である。フォレンジック費用、弁護士費用、通知費用、身代金関連問題、システム復旧、事業中断、クライアント請求、規制費用、セキュリティ改善があり得る。補償は、保険約款、除外、タイミング、協力、損失が直接的か付随的かに依存し得る。多くのクライアントにサービスを提供するプロバイダーは、クライアントの中断がプロバイダーの侵害の下流になり得るため、複雑な請求に直面し得る。

訴訟リスクも同様の理由で重要である。クライアントは、プロバイダーが契約上の義務を果たしたか、セキュリティ管理策が合理的だったか、通知が適時だったか、サービスレベル控除が適用されるか、プロバイダーの行動がクライアントの損失を引き起こしたかを問うかもしれない。Cognizant の提出書類はそのようなすべての請求を認めたわけではない。提出書類はリスクを特定する。説明責任の要点は、復旧証拠が将来の精査を念頭に構築されるべきであることだ。決定、タイムライン、通知、復旧承認は、後に責任と信頼を決定し得るため、文書化されるべきである。

失われた信頼は価格付けが困難だが、本件の中核である。クライアントは、プロバイダーがうまくコミュニケーションし、管理を証明すれば、ランサムウェアイベント後も契約を継続するかもしれない。別のクライアントは、直接の技術的損失が限定的であっても離れるかもしれない。なぜなら、プロバイダーの証拠がクライアントのリスク委員会を満足させなかったからだ。ここでの信頼は感傷的なものではない。それは、アウトソーシングされたアクセスが引き続き管理可能であるというクライアントの確信である。

したがって、公開財務記録は運用記録を補強する。ランサムウェア復旧は、システムが起動したときに完了ではない。サービス、証拠、クライアントの信頼、費用配分が安定したときに初めて完了となる。

より強力な顧客証拠が示し得たはずのもの

より強力な公開記録は、機密のクライアント名やフォレンジックの詳細を露出することを必要としない。適切な抽象度で顧客証拠の形状を示すだろう。例えば、影響を受けたシステムのカテゴリ、クライアント向けデリバリーシステムが含まれたか、何社のクライアントがサービス障害を経験したか、何社がアクセスを停止したか、どのクラスのデータがアクセスされたか、どの指標が共有されたか、クライアントがレビューを求められた時間枠、クライアントアクセスが復旧される前にどの復旧マイルストーンが発生しなければならなかったか、などだ。

個々のクライアントにとって、証拠パッケージはより具体的であるべきである。関連する Cognizant アカウント、サービス、エンドポイント、チケット、ツール、アクセスウィンドウを特定すべきである。クライアントのデータや環境が対象範囲内か、Cognizant がレビューしたログは何か、どの指標が適用されるか、資格情報がローテーションされたか、プロバイダーセッションが保存されたか、クライアントが取るべき行動は何かを伝えるべきである。また、何が不明のままかも伝えるべきである。クライアントはラベル付けされていれば不確実性を管理できる。

プロバイダーはまた、セグメンテーションの証拠を提供できるべきである。一つのデリバリーチームやシステムが影響を受けた場合、無関係なクライアントへの波及を何が防いだか?アカウントはクライアントごとに一意だったか?リモートセッションはログ記録されたか?クライアント環境は ID とネットワーク制御によって分離されていたか?共有ツールは再接続前に堅牢化されたか?バックアップは整合性テストされたか?特権アカウントは環境全体でレビューされたか?これらの問いはプロバイダー説明責任の標準である。

投資家と保険会社にとって、より強力な証拠は、対応マイルストーンを費用に結びつけるだろう。どの費用が緊急封じ込めに発生し、どれが修復とセキュリティ強化に発生したか?どの収益損失が直接のサービス障害、クライアントアクセス停止、またはより広範な市場状況から生じたか?Cognizant の提出書類は有意義な公的カテゴリを提供したが、外部の読者は依然としてすべてのドルやクライアント影響を割り当てることができない。

完全な公的詳細の欠如は珍しいことではない。しかし、それは結論を形成すべきである。本件は、プロバイダー側の証拠義務とクライアント継続性リスクに関する高い確度の説明責任所見を支持する。すべてのクライアントが同じ方法で影響を受けた、またはすべての私的フォレンジック質問に公的回答があるという主張は支持しない。

クライアントとプロバイダーのためのガバナンスの問い

クライアントは次のランサムウェアイベントの前に、プロバイダー固有の質問をすべきである。プロバイダーはどのようなアクセスを持っているか?プロバイダーアカウントは一意で、最小特権で、監視されているか?クライアントはすべてのサービスを失わずにアクセスを停止できるか?緊急制限アクセスモードはあるか?契約は通知トリガー、指標共有、フォレンジック協力、サービス回避策、エグゼクティブエスカレーション、証拠保持を定義しているか?クライアントは、どのビジネスプロセスがプロバイダーに依存しているか、どのくらい中断を耐えられるかを知っているか?

プロバイダーは鏡の質問をすべきである。すべてのクライアント向けアクセスパスを迅速にマップできるか?影響を受けたアカウントを、すべてのデリバリーを無効にせずに無効化できるか?コラボレーションシステムがダウンしている場合でもクライアントとコミュニケーションできるか?ログからクライアント固有の証拠を生成できるか?エンドポイント封じ込めと資格情報ローテーションを証明できるか?安全な順序でサービスを復旧できるか?過度に約束せずに残余リスクを説明できるか?データ露出をサービス障害や予防的アクセス停止と区別できるか?

取締役会はこれをセキュリティチームだけの問題として扱うべきではない。プロバイダー取締役会は、ランサムウェアが収益、利益率、クライアントの信頼、保険、訴訟、戦略的ポジショニングにどのように影響し得るかを理解する必要がある。クライアント取締役会は、サプライヤーの侵害が、クライアント自身のシステムが直接暗号化されていなくとも重要な運用を中断し得る方法を理解する必要がある。両方の取締役会は、サプライヤーアクセスと証拠交換を含む継続性指標を必要とする。

セキュリティオートメーションはガバナンスの一部であるべきだが、それが監査される場合に限る。エンドポイントがクリーンであると示すダッシュボードは、どのエンドポイントが隔離され、再構築され、スキャンされ、復旧されたかを示す証跡よりも有用性が低い。リモート管理ツールは、クライアントがプロバイダーセッションを見たり制御できないならば有用性が低い。バックアップシステムは、攻撃者がそこに到達できる場合や、復旧順序が不明確な場合は有用性が低い。オートメーションは、検証可能なアウトプットを通じて信頼を獲得する。

最後に、ガバナンスは地域的および越境的な複雑性を認識すべきである。本記事の概要地域はディレクトリエンティティに従うが、Cognizant の事業とクライアントはグローバルだった。アウトソーシングされた IT サービスはしばしば法域、データ保護レジーム、クライアントセクターをまたぐ。それにより、明確な契約、通知義務、顧客固有の証拠がさらに必要になる。

説明責任の所見

Cognizant の Maze インシデントは、ランサムウェア復旧を IT サービスの説明責任の試金石に変えた。なぜなら、攻撃がプロバイダーだけの問題にとどまらなかったからだ。公開記録は、一部のクライアントへのサービス障害、クライアントコミュニケーション、指標と防御情報、特定データへの不正アクセス、一部のケースでのクライアントアクセス停止、復旧作業、修復費用、公的財務開示を示している。これらの事実は、プロバイダーとクライアントの継続性事象を示すに十分である。

説明責任マップは実質的制御に従う。Cognizant はプロバイダーシステム、封じ込め、修復、フォレンジック証拠、クライアントコミュニケーション、公的開示を制御した。クライアントは、自社のアクセス判断、監視、継続性計画、指標への対応を制御した。投資家と保険会社は提出書類とコミュニケーションを通じて費用と残余リスクを評価した。どの当事者も、他者の環境の外からすべての事実を持っていたわけではない。

最も有用な教訓は、クライアントがプロバイダーを避けるべきとか、プロバイダーがランサムウェアリスクを排除できるということではない。それは、プロバイダーアクセスは信頼が低下した状態のために設計されなければならないということだ。クライアントは、重要な運用を見失うことなく、プロバイダーアクセスを制限、監視、復旧できるべきである。プロバイダーは、クライアントがパニックせずにそれらの決定を下せる証拠を生成できるべきである。両者は、インシデント前にその交換を練習しているべきである。

Cognizant の公開資料は、インシデントの存在、サービス影響、封じ込め姿勢、費用、継続的リスクについて有意義な開示を提供している。報道は、クライアントコミュニケーション、予想財務影響、データ露出の懸念に関する文脈を加える。記録は依然として私的な詳細を非公開にしている。それは、顧客が必要な場所で顧客固有の証拠を受け取った場合に限り許容可能である。公開された説明責任はすべての私的通知を検証することはできないが、基準を設定することはできる。プロバイダーのランサムウェアイベントは、クライアントが何が変わり、何が変わらなかったか、そして今やどの管理策が復旧された信頼を支えるかを証明できるまで終わらない。

タイポグラフィ

タイポグラフィは、書かれた言語を読みやすく、判読しやすく、視覚的に魅力的にするために文字を配置する芸術と技術である。それには、書体、ポイントサイズ、行長、行間、文字間隔の選択が含まれる。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクが可動式活字を発明したことに起源を持つ。
  • 重要な要素には、フォント選択、カーニング、トラッキング、リーディングが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインにおける雰囲気やトーンを伝える。