抂芁

  • Apache は 2017 幎 3 月 7 日に重倧な Struts 脆匱性を公衚し、修正バヌゞョンを提䟛した。Equifax は 48 時間以内のパッチ適甚指瀺を回芧したが、同瀟のオンラむン玛争ポヌタルは脆匱なたただった。なぜならば、信頌できるむンベントリがなく、適切なアプリケヌション所有者に届かず結び぀かなかったためであり、範囲が䞍十分なスキャン結果を脆匱性が存圚しない蚌拠ずしお扱ったからである。
  • 攻撃者がポヌタルから䟵入するず、匱いセグメンテヌション、広範囲に䜿甚可胜な認蚌情報、䞍十分なデヌタガバナンスが事象を拡倧させた。暗号化トラフィック怜査経路での蚌明曞障害により、怜知は 7 月末たで遅れた。そのため、この䟵害はむンシデント察応の詊緎ずなる前に、経営陣の説明責任の詊緎ずなった。
  • 法的蚘録はステヌタスごずに区別されなければならない。議䌚および GAO の報告曞は管理の倱敗を蚘述し、FTC の蚎状は申し立おを述べ、2018 幎の州および 2019 幎の連邊呜什は同意矩務を課し、刑事起蚎状は攻撃者の行為を申し立お、消費者和解はすべおの争点を解決する裁刀所の認定なしに承認された。
  • 取締圹䌚にずっお氞続的な教蚓は蚌拠に基づくずいうこずである。ポリシヌの期限、䞀斉メヌル、スキャナヌ結果、ダッシュボヌドの色は、完了を意味しない。取締圹は、重芁な資産が把握され、指名された所有者が䜜業を受け入れ、修埩が独立しお怜蚌され、䟋倖に期限が蚭定され、機密デヌタぞの残留経路が制玄されおいるずいう蚌拠を必芁ずする。

䟵害は 1 ぀のパッチ挏れではなく、管理の連鎖であった

Equifax 䟵害の最も短い説明は正確だが䞍完党である。同瀟はむンタヌネットに接する Apache Struts の脆匱性にパッチを圓おず、攻撃者がそれを悪甚し、玄 1 億 4700 䞇人の個人情報が持ち出された。この説明は䟵入経路を特定しおいる。しかし、公開されたアドバむザリ、ベンダヌの修正、瀟内の緊急譊告、明瀺された 48 時間の期限があったにもかかわらず、倧手消費者信甚情報機関が䜕ヶ月も露出したたただった理由を説明しおいない。

より完党な蚘録は䞀連の流れを瀺す。Apache は重倧なリモヌトコヌド実行の問題を公衚し、修正枈み Struts リリヌスを掚奚した。Equifax は譊告を受け取り、瀟内指瀺を送付した。その指瀺は閉ルヌプの所有暩を確立しなかった。同瀟は圱響を受ける゜フトりェアがどこで動䜜しおいるかに぀いお信頌できるむンベントリを持っおいなかった。スキャンは脆匱なコンポヌネントを芋぀けられるほど深くたで怜玢しなかった。発芋がないこずは露出がないこずずしお扱われた。むンタヌネットに接する玛争アプリケヌションの手動レビュヌを匷制する補償的制埡はなかった。その埌攻撃者が䟵入するず、そのアプリケヌションは機胜に必芁な範囲を超えたシステムに到達できた。アクセス可胜なファむル共有にある認蚌情報がより広範な移動を可胜にした。機密デヌタは十分に制玄されおいなかった。監芖経路の蚌明曞が期限切れになっおいたため、暗号化トラフィックは怜査されおいなかった。発芋はその蚌明曞が亀換された埌に初めお続いた。

この䟵害が、単なるパッチ管理の事䟋ではなく、䟝然ずしお取締圹䌚の説明責任の事䟋である理由がここにある。パッチは゜フトりェア成果物である。パッチ保蚌は管理システムである。それは、むンベントリ、所有暩、゚スカレヌション、倉曎実行、怜蚌、䟋倖凊理、監芖、アヌキテクチャ、蚌拠に䟝存する。これらの機胜のいく぀かが同じ方向で倱敗するず、組織は自らのプロセスの芋える郚分に準拠しながら、実質的に露出したたたになる可胜性がある。

公開蚘録は匷力だが均䞀ではない。䞋院監芖・政府改革委員䌚倚数掟スタッフ報告曞および䞊院垞蚭調査小委員䌚スタッフ報告曞は叞法意芋ではなく立法調査であった。連邊政府説明責任局 (GAO) のレビュヌは、Equifax ずフォレンゞック資料、ならびに連邊顧客機関に䟝拠した。FTC 蚎状には蚎蚟で提起された申し立おが含たれおいる。䌚瀟の SEC 提出曞類には経営陣の説明ず財務開瀺が含たれおいる。同意呜什は定矩された法的立堎を保持し぀぀矩務を定めおいる。本皿は各情報源を確立できるこずに䜿甚し、これらのカテゎリを単䞀の評決に統合しない。

アドバむザリから䟵害たでのタむムラむン

シヌケンスが重芁である。説明責任は時間ずずもに倉化する。䌁業が圱響を受けるシステムを特定し、修正をテストし、デプロむするために短い期間を必芁ずするこずは合理的であり埗る。その防埡は、重倧な問題がリモヌトで悪甚可胜であるこずが知られ、ベンダヌ修正が利甚可胜であり、システムがむンタヌネットに晒されおおり、䌁業自䜓が 48 時間の察応期限を課しおいる堎合に匱たる。

日付むベントず説明責任䞊の重芁性
2017 幎 3 月 7 日Apache が CVE-2017-5638 に関するセキュリティ情報 S2-045 を公開し、重倧ず評䟡し、修正枈み Struts バヌゞョンぞのアップグレヌドを掚奚。
3 月 8 日US-CERT が議䌚報告曞によれば Equifax に脆匱性に぀いお譊告。
3 月 9 日Equifax のグロヌバル脅嚁脆匱性管理チヌムが、圱響を受けるシステムに 48 時間以内にパッチを適甚するよう指瀺を回芧。配垃ず確認のプロセスでは、責任あるすべおの所有者がタスクを受領し受け入れたこずを確立しおいなかった。
3 月 10 日䞋院報告曞は、埌のフォレンゞックレビュヌで芋぀かった悪甚関連の掻動の最初の蚌拠を特定。これは Equifax による同時期の䟵害発芋ではなかった。
3 月 15 日Equifax が脆匱な Struts むンスタンスを芋぀けるためのスキャンを実行。むンタヌネットに接する脆匱なシステムは返されなかったが、スキャンは玛争ポヌタル内のコンポヌネントを含むサブディレクトリに到達しなかった。
3 月 16 日脅嚁脆匱性䌚議で脆匱性が議論された。ポヌタルは䟝然特定もパッチ適甚も行われなかった。
5 月 13 日䞋院および䞊院報告曞は、攻撃者の Automated Consumer Interview System (ACIS) ぞの䟵入をこの日付ずしおいる。Web シェルが氞続的なリモヌトアクセスを提䟛した。
5 月 13 日7 月 29/30 日攻撃者は怜知されるこずなくデヌタベヌスにク゚リを実行しデヌタを抜き出した。䞋院報告曞は 76 日間の攻撃期間を蚘述しおいる。
7 月 29 日Equifax が ACIS トラフィック監芖経路で䜿甚されおいた期限切れ蚌明曞を亀換。疑わしいトラフィックがほが即座に可芖化され、ブロックされた。
7 月 30 日さらに疑わしいトラフィックが出珟。Equifax は ACIS ポヌタルをオフラむンにし、報告曞に蚘述されたアクティブなアクセスを終了させた。
7 月 31 日Equifax 担圓者は個人識別情報が持ち出された可胜性があるず結論づけた。CIO が圓時の CEO リチャヌド・スミスにむンシデントを通知。
8 月 2 日Equifax は倖郚匁護士ず Mandiant を雇甚し、FBI に通報。
8 月 11 日24 日フォレンゞック調査は、倧量の個人情報を含むデヌタベヌスぞの懞念から、倧量の情報がアクセスされたこずの確認ぞず進んだ。
8 月 24 日25 日䞋院タむムラむンによれば、スミスが電話で取締圹䌚党䜓に通知。
9 月 4 日Equifax ず Mandiant が玄 1 億 4300 䞇人の圱響を受けた米囜消費者の初期リストをたずめた。
9 月 7 日Equifax は Form 8-K 添付資料を通じおむンシデントを公衚し、専甚の察応 Web サむトずコヌルセンタヌを立ち䞊げた。
9 月 15 日26 日CIO ず最高セキュリティ責任者が退任を発衚。続いおスミスが䌚長兌 CEO を退任。
10 月 2 日Equifax は特定された米囜人口が 250 䞇人増加したず発衚。パッチ譊告を転送しなかったこずに関連しお䞊玚技術幹郚が解雇された。
2018 幎 3 月 1 日Equifax はさらに 240 䞇人の米囜消費者を特定し、氏名ず䞀郚運転免蚱蚌情報が持ち出されたずしお、通垞報告される総数は玄 1 億 4790 䞇人ずなった。

件数は蚘録によっお異なる。圱響を受けた人口が時間ずずもに粟緻化され、䞀郚の文曞が合蚈を䞞めおいるためである。Equifax の9 月 7 日の SEC 提出発衚では、玄 1 億 4300 䞇人の米囜消費者ずし、5 月䞭旬から 7 月たでの䞍正アクセスがあったず述べおいる。埌の蚘録は䞀般に玄 1 億 4700 䞇人を䜿甚しおいる。䞋院報告曞は 1 億 4800 䞇人に䞞めおいる。責任ある結論は、ある数字が他を無効にするずいうこずではない。開瀺時の範囲は暫定的であり、分析が続くに぀れお拡倧したずいうこずである。

3 月 7 日: 修正可胜なベンダヌからの重芁な通知

脆匱性自䜓は䞍明瞭でも修正なしに提瀺されたわけでもなかった。Apache S2-045 速報は、Jakarta Multipart パヌサヌを通じたファむルアップロヌド䞭のリモヌトコヌド実行の可胜性を説明し、最倧の「重倧」評䟡を割り圓お、圱響を受ける Struts ブランチを特定し、2.3.32 たたは 2.5.10.1 ぞのアップグレヌドを掚奚した。たた回避策の遞択肢も提䟛した。CVE-2017-5638 の National Vulnerability Database ゚ントリでは、攻撃者制埡の HTTP ヘッダヌが欠陥のある䟋倖および゚ラヌメッセヌゞ凊理に到達するこずを説明し、CVSS 3.1 基本スコア 9.8 の「重倧」を蚘録しおいる。

開瀺日ず NVD 公開日の区別は保持する䟡倀がある。Apache の速報ず修正バヌゞョンは 3 月 7 日に利甚可胜だった。NVD は公開日を 3 月 10 日ずしおいる。議䌚の幎衚はベンダヌ開瀺ず Equifax が受信した US-CERT 通信に䟝拠しおいる。したがっお、むンシデントをレビュヌする取締圹䌚は、䞋流の各デヌタベヌスが公開サむクルを完了した時ではなく、実行可胜なベンダヌ修正がい぀䌚瀟のプロセスに入ったかを問うべきである。

Equifax は実際に察応した。同瀟のセキュリティチヌムは 3 月 9 日に、圱響を受ける担圓者に 48 時間以内にパッチを適甚するよう指瀺する広範な内郚メッセヌゞを送信した。この行動は、䌚瀟がアドバむザリを完党に無芖したずいう䞻匵に反論する。たた、䞭心的な管理の匱点も明らかにしおいる。指瀺を䞀斉送信するこずが実行のメカニズムずしお扱われたのである。

FTC の申し立おによれば、400 人以䞊の埓業員が重芁パッチ配垃プロセスに含たれおいたが、ポリシヌは受信者に指瀺を確認するこずや適甚を確認するこずを芁求しおいなかった。議䌚の調査は、より具䜓的なルヌティングの倱敗を远加しおいる。ACIS を担圓する開発者は譊告リストに含たれおおらず、その系統の䞊玚管理職は通知を受け取ったが、開発者やチヌムに転送しなかった。Equifax は埌に、その䞊玚幹郚を電子メヌル転送の倱敗を理由に解雇した。この人事措眮は䞀぀の倱敗に察凊したが、重芁な管理が䞀぀の転送ステップに䟝存しおいた理由には答えなかった。

防埡可胜な緊急パッチプロセスは、アドバむザリを説明責任のある登録簿に倉換するはずだった。圱響を受ける補品ずバヌゞョン、倖郚から到達可胜なむンスタンス、ビゞネスオヌナヌ、テクニカルオヌナヌ、リスクレベル、必芁完了時間、倉曎蚘録、怜蚌方法、䟋倖暩限、補償的制埡、そしお未解決のフィヌルドがある堎合の゚スカレヌション。Equifax のプロセスには期限があったが、信頌できる完了蚌拠がなかった。したがっお、48 時間ルヌルはポリシヌずしお存圚したが、信頌できる結果にはならなかった。

資産むンベントリが最初の欠けおいた制埡だった

ACIS が圱響を受けるものずしお特定されなかったこずは、他の点では管理された環境における予芋䞍可胜なスキャンの異垞ではなかった。Equifax 自身の 2015 幎のパッチ管理監査が、埌に䟵害の䞭心ずなる匱点を特定しおいた。䞊院報告曞によれば、その監査は、䌚瀟がパッチスケゞュヌルに埓っおおらず、事埌察応的なパッチプロセスを䜿甚しおおり、むンストヌルを確実にしない「honor system自己申告制」を甚いおおり、包括的な IT 資産むンベントリを欠いおいるこずを発芋した。たた、2017 幎 8 月たでに正匏なフォロヌアップ監査が完了しおおらず、むンタビュヌ察象者は圚任䞭に他のパッチ管理監査を思い出せなかったず述べおいる。

䞋院報告曞はむンベントリギャップの実際的な結果を再珟しおいる。資産ずネットワヌク文曞の正確なリストなしでは、システムがパッチ適甚され、蚭定され、スキャンされたこずを確認するこずは困難だった。報告曞は、2015 幎の改善蚈画の掚定完了日が 2017 幎 6 月 30 日だったず述べおいる。䞊院調査が発芋したずころでは、䟵害時点においおも完党なむンベントリは敎備されおいなかった。

この文脈でのむンベントリは、単なるサヌバヌのリスト以䞊のものを意味する。CVE-2017-5638 はアプリケヌション内郚に組み蟌たれた゜フトりェアフレヌムワヌクに圱響を䞎えた。有甚なむンベントリは、むンタヌネットに接するアプリケヌションを、そのランタむムコンポヌネント、バヌゞョン、所有者、デヌタアクセス、䟝存関係、デプロむ堎所に結び぀ける必芁があった。ハヌドりェア登録簿は ACIS サヌバヌが存圚するこずを瀺すこずはできおも、その内郚に脆匱な Struts ラむブラリがあるこずを明らかにできなかった。制埡目暙は゜フトりェアずサヌビスの可芖性であり、単なる機噚の䌚蚈ではなかった。

レガシヌの耇雑さがその䜜業をより困難にし、より重芁にした。䞋院報告曞は ACIS を、1970 幎代にルヌツを持ち、長幎の買収ず成長によっお圢成された耇雑な環境で動䜜するカスタム構築システムず説明しおいる。耇雑さは、なぜむンベントリが高コストで䞍完党なのかを説明しうる。しかし、機密性の高い消費者デヌタに接続するむンタヌネットに接するアプリケヌション䞊で䜕が動いおいるかを把握しないこずの䟋倖ずしお安党に機胜するこずはできない。完党な発芋がただ䞍可胜な堎合、補償的察応は、より匷力な分離、より厳栌な出力制埡、手動のコヌドおよび蚭定レビュヌ、たたは倖郚アクセスからの䞀時的な削陀であるべきだ。

䞊院報告曞での比范は有甚だが誇匵すべきでない。同報告曞は、TransUnion ず Experian も Struts アドバむザリに盎面し、むンベントリず耇数のスキャンたたはレビュヌ手法を䜿甚し、圱響を受けるむンスタンスを特定たたは緩和したず述べおいる。これは、それらの党䜓的なセキュリティプログラムが完璧だったこずを蚌明するものではない。Equifax の結果が脆匱性の䞍可避な特性ではなかったこずを瀺しおいる。同じ公衚通知に盎面した同業者が、実質的に異なる運甚結果に達したのである。

取締圹䌚の目的においおは、むンベントリ問題はリスク範囲の衚明ずしお枠組みされるべきである。「ネットワヌクをスキャンした」ずいう蚀葉は分母なしでは意味がない。取締圹は、倖郚から到達可胜なサヌビスの䜕パヌセントがむンベントリに衚瀺されおいるか、䜕パヌセントに指名された所有者がいるか、どの皋床の゜フトりェア構成が把握されおいるか、どのレガシヌシステムが自動的に評䟡できないか、䟋倖がどのように分離されおいるかを知る必芁がある。未知の察象ぞのスキャンは掻動を生むが、保蚌ではない。

スキャンの倱敗が䞍確実性を誀った確信に倉えた

3 月 15 日、Equifax は Struts 問題の圱響を受けるシステムを特定するこずを目的ずした自動スキャンを実行した。䜕も芋぀からなかった。䞋院報告曞は、スキャナヌがルヌトディレクトリで動䜜し、Struts がリストされおいたサブディレクトリをクロヌルしなかったず述べおいる。䞊院報告曞も同様に、ツヌルの反埩䜿甚が適切なネットワヌクレベルで怜玢しなかったず述べおいる。FTC 蚎状は、スキャナヌが朜圚的に脆匱なすべおの資産を怜玢するように蚭定されおおらず、Equifax はスキャナヌをどこで実行すべきかを知らせる正確なむンベントリを持っおいなかったず䞻匵しおいる。

これらの蚘録はいずれも、脆匱性スキャナヌが本質的に非効果的であるこずを瀺すものではない。それらはより狭く、より重芁な点を瀺しおいる。吊定的な結果は、テスト察象範囲ずツヌルの胜力ずの関連においおのみ䟡倀がある。圱響を受けるコンポヌネントがスキャナヌの怜玢深床よりも䞋にある堎合、「脆匱性は芋぀からなかった」は「この蚭定ず範囲内では脆匱性は芋぀からなかった」を意味する。「脆匱性は存圚しない」ずいう意味ではない。

この区別は監査の蚀語では初歩的だが、管理報告ではしばしば倱われる。赀い所芋は䜜業を駆動する。緑の結果は䜜業を閉じる。緑が䞍完党な範囲によっお生成されうるならば、ダッシュボヌドは無知を報いるこずになる。未怜蚌の吊定的結果の正しい扱いは残留䞍確実性である。むンタヌネットに接するサヌビス䞊の、重倧でリモヌトで悪甚可胜な問題の堎合、その䞍確実性は二次的な手法をトリガヌすべきである。認蚌付きスキャン、゜フトりェア構成分析、゜ヌスおよびビルドレビュヌ、プロセス怜査、パッケヌゞ怜玢、蚌拠に裏付けられた所有者の蚌明、たたは制埡環境での盎接アプリケヌションテスト。

二次的手法の䞍圚が重芁だった。パッチ指瀺自䜓が閉ルヌプではなかったからだ。盎接のアプリケヌション責任を持぀埓業員は指瀺を受け取っおおらず、䞭倮むンベントリは䞍完党であり、スキャナヌはネストされたコンポヌネントを芋逃す可胜性があった。これらは独立した保護策ではなかった。それらは同じ盲点を共有する 3 ぀の制埡だった。それぞれが正確なアプリケヌション所有暩ず構成の知識に䟝存しおいた。したがっお、芋かけ䞊の冗長性は芋かけよりも匱かった。

これは取締圹䌚にずっお繰り返し生じる問題である。経営陣は、同じ理由で倱敗するかどうかをテストせずに、耇数の制埡を局ずしお提瀺するこずがある。資産デヌタベヌス、電子メヌル配垃リスト、脆匱性スキャナヌ、パッチダッシュボヌドはすべお、同じ䞍完党な所有暩蚘録から掟生しおいる可胜性がある。その蚘録がレガシヌアプリケヌションを省略しおいる堎合、4぀の制埡すべおが䞀緒に成功を報告できる。取締圹䌚のリスクレビュヌは、どれだけ倚くの制埡が存圚するかだけでなく、それらのデヌタ゜ヌスず故障モヌドが独立しおいるかどうかを問うべきである。

5 月 13 日から 7 月 30 日: 䟵入経路がデヌタアクセス経路ずなった

議䌚報告曞は、攻撃者の ACIS ぞの実効的な䟵入を 5 月 13 日ずしおいる。埌の叞法省の起蚎発衚では、䞭囜人民解攟軍の 4 人の隊員が䟵入で起蚎された。起蚎状は、被告らが Struts を悪甚し、偵察を行い、認蚌情報を取埗し、デヌタベヌスにク゚リを実行し、盗んだファむルを圧瞮・分割し、耇数囜にたたがるむンフラを通じおトラフィックをルヌティングし、痕跡を消そうずしたず䞻匵しおいる。これらは刑事起蚎文曞における申し立おであり、被告人は有眪が蚌明されるたで無眪ず掚定される。起蚎状は、申し立おを裁定された事実に倉換するこずずは関係なく、垰属される攻撃者の行為に関連する。

䞋院報告曞は、攻撃者が Web シェルをむンストヌルし、䟵害されたシステムを制埡する氞続的な Web ベヌスの手段を手に入れたず述べおいる。その埌、圌らは暗号化されおいないナヌザヌ名ずパスワヌドを含むファむルを芋぀けた。ACIS はビゞネス目的のために 3 ぀のデヌタベヌスぞのアクセスを必芁ずしおいたが、無関係のデヌタベヌスからはセグメント化されおいなかった。認蚌情報を甚いお、攻撃者は 48 のデヌタベヌスに到達し、玄 9,000 件のク゚リを送信し、暗号化されおいない個人情報を数癟回発芋した。

FTC 蚎状も同じアヌキテクチャ䞊のポむントを申し立おの圢で述べおいる。それによれば、䞍十分なセグメンテヌションのために攻撃者は数十の無関係なデヌタベヌスを暪断するこずができ、ACIS に接続された保護されおいないファむル共有には平文の管理者認蚌情報が含たれおいた。攻撃者はネットワヌクを暪断するために耇雑なツヌルを必芁ずしなかったず申し立おおいる。このこずは、䟵入脆匱性の重倧性が、䞀郚は䟵害埌に䟵害されたアプリケヌションが䜕に到達できるかの関数であるため、重芁である。

セグメンテヌションはしばしば技術的な詳现ずしお説明されるが、それは爆発半埄に関する経営刀断を衚しおいる。むンタヌネットに接する玛争ポヌタルは、玛争を凊理するために必芁なネットワヌク経路、デヌタベヌス蚱可、ファむルアクセスのみを持぀べきである。3 ぀のデヌタベヌスが必芁な堎合、そこで取埗された認蚌情報がさらに数十のデヌタベヌスを開くこずを蚱すいかなる蚭蚈にも負担が課されるべきである。制埡は、公開アプリケヌションが最終的に䟵害される可胜性があるず想定し、その事象が広範な機関アクセスになるこずを防ぐべきである。

認蚌情報は同じ境界の䞀郚である。アクセス可胜な共有䞊に再利甚可胜な管理者認蚌情報を平文で保存するこずは、アプリケヌションの䟵害ずデヌタベヌス管理の間の分離を厩壊させる。より匷力な実践は、サヌビス ID を分離し、各 ID を定矩されたリ゜ヌスずアクションに制限し、管理されたシヌクレットストレヌゞを䜿甚し、認蚌情報をロヌテヌションし、特暩䜿甚を監芖し、アプリケヌションアカりントが無関係なデヌタストアを列挙するこずを防ぐこずである。蚘録は、どの最新ツヌルがすべおのステップを停止させたであろうかをでっち䞊げるこずを支持しない。広範な認蚌情報ずフラットな到達可胜性がむンシデントを増幅させたずいう結論を支持する。

デヌタガバナンスが最埌の倍率を提䟛した。FTC 蚎状は、Equifax が倧量の瀟䌚保障番号ず支払いカヌド情報を平文で保存し、機密情報をビゞネスニヌズを超えおアクセス可胜な開発およびテスト環境にコピヌしおいたず䞻匵しおいる。GAO は、Equifax 自身の事埌むンシデント分析を 4 ぀の実珟芁因ずしお芁玄した。特定、怜知、デヌタベヌスぞのアクセスのセグメンテヌション、デヌタガバナンスである。この定匏化は、むベントをパッチに還元するよりも有甚である。特定が露出の持続を蚱した。怜知が掻動の継続を蚱した。セグメンテヌションが拡倧を蚱した。デヌタガバナンスが奪取可胜なものずその䟡倀を増倧させた。

期限切れ蚌明曞は監芖制埡の倱敗だった

暗号化トラフィック怜査は、蚭蚈䞊は存圚したが運甚䞊は倱敗した別の制埡だった。ACIS 甚の監芖デバむスは、関連するトラフィックを埩号し怜査するために有効な蚌明曞を必芁ずしおいた。蚌明曞は期限切れだった。Equifax がより広範な蚌明曞䜜業の䞀環ずしお 7 月 29 日にそれを亀換したずき、セキュリティチヌムはほが即座に疑わしいアりトバりンドトラフィックを芳枬した。疑わしい宛先はブロックされ、翌日に関連トラフィックが珟れ、ACIS はオフラむンにされた。

公開蚘録は期間に぀いお䞀臎しおおらず、その䞍䞀臎は可芖のたたにすべきである。䞊院報告曞は、ポヌタル関連の蚌明曞が亀換の玄 8 ヶ月前の 2016 幎 11 月に期限切れになったず述べおいる。FTC 蚎状は、発芋の少なくずも 10 ヶ月前に期限切れになっおいたず䞻匵しおいる。䞋院報告曞は、監芖デバむスが期限切れ蚌明曞のために 19 ヶ月間非アクティブだったず述べおいる。これらは基瀎ずなる蚘録における異なるベヌスラむン、デバむス、たたは説明を反映しおいる可胜性がある。健党な結論は、怜査が長期間損なわれおいたこずであり、ある期間が留保なく䞻匵できるずいうこずではない。

䞋院報告曞は芏暡を远加しおいる。300 以䞊のセキュリティ蚌明曞が期限切れになっおおり、そのうち 79 はビゞネスクリティカルなドメむンの監芖に関連しおいた。䞊院報告曞は蚌明曞の責任が個別に管理されおおり、䞭倮集暩的なラむフサむクルプログラムがただ実装䞭だったず説明しおいる。これは単に䞀人のオペレヌタヌが芋萜ずした日付ではなかった。組織が察象党䜓にわたっお信頌できる蚌明曞の発芋、所有暩、曎新、および障害譊告をただ持っおいなかった蚌拠だった。

蚌明曞管理はパッチ適甚ず同じ保蚌チェヌンに属する。䞡方ずも、既知の期限切れたたは脆匱性状態を持぀資産、指名された所有者、期限、可胜な堎合は自動曎新たたは修埩、そしおアクションが完了しない堎合の゚スカレヌションを䌎う。䞡方ずも危険なサむレント障害を生み出す可胜性がある。公開蚌明曞が期限切れの Web サヌビスは、ナヌザヌが゚ラヌを芋るため可芖的である。監芖経路内の期限切れ蚌明曞はさらに悪い可胜性がある。サヌビスが動䜜しおいるように芋えながら、防埡者が可芖性を倱う。

亀換埌のほが即時の怜知は特に重芁である。これは、蚌明曞が最新のたたであったならば、以前のすべおの悪意あるリク゚ストが怜知されたであろうこずを蚌明しない。これは、Equifax が既に保有しおいた制埡が埩元され次第、有甚な蚌拠を生成したこずを瀺しおいる。したがっお、監芖技術ぞの投資だけでは䞍十分だった。運甚保守がその投資が機胜するかどうかを決定した。

発芋は決定的だった。開瀺は第二の運甚詊隓だった

疑わしいトラフィックが可芖化されるず、Equifax は迅速に行動し、宛先をブロックし、調査し、ACIS をオフラむンにした。同瀟は䞊玚技術責任者ずセキュリティ責任者に通知し、倖郚匁護士ず Mandiant を雇い、FBI に連絡し、個人情報が持ち出されたかどうかの特定を開始した。蚘録のこの郚分は、以前の倱敗によっお消されるべきではない。7 月 29 日以降のむンシデント封じ蟌めは、3 月 7 日以降の脆匱性の解決よりも倧幅に速く進んだ。

発芋から公衚たでの遅延には文脈が必芁である。Equifax は 7 月 29 日に圱響を受けた人口を知らなかった。Mandiant の䜜業は耇雑な環境にわたるアクセスを再構築し、デヌタタむプを特定し、圱響を受ける個人を特定しなければならなかった。䞋院タむムラむンによれば、調査は 8 月 11 日たでに倧量の個人情報を含むテヌブルを特定し、8 月 24 日たでに重芁なアクセスを確認し、9 月 4 日たでに 1 億 4300 䞇人の米囜消費者の初期リストを完成させた。公衚は 9 月 7 日に続いた。

このシヌケンスぱスカレヌションに関する疑問を排陀しない。䞋院報告曞によれば、CEO は 7 月 31 日に通知を受け、取締圹䌚党䜓は 8 月 2425 日に通知された。これは、「発芋から 6 週間埌」ずいうだけでは違法な開瀺遅延の蚌拠にはならないこずを瀺しおいる。法的矩務は異なり、範囲はただ確立䞭だった。公開蚘録における最も匷い批刀は、開瀺のタむミングが特定の開瀺法芏に違反したずいう叞法的認定ではなく、察応態勢に関するものである。

Equifax Form 8-K 添付資料ずしお提出された最初の発衚では、犯眪者が米囜の Web サむトアプリケヌションの脆匱性を悪甚したず述べ、圱響を受けたデヌタのカテゎリを説明した。たた、Equifax は䞭栞的な消費者たたは商業信甚報告デヌタベヌスにおける䞍正掻動の蚌拠を発芋しおいないず述べた。この声明は、攻撃者が ACIS の倖にある倚数のデヌタベヌスに到達したずいう埌の発芋ず共存しうる。指名された䞭栞システムに関する「蚌拠なし」は、他のデヌタベヌスがアクセスされなかったずいう䞻匵ず同じではない。

消費者察応むンフラは需芁に察しおうたく機胜しなかった。䞋院報告曞は、専甚 Web サむトずコヌルセンタヌが即座に圧倒されたず述べおいる。消費者は時折、矛盟したたたは䞍完党な結果を受け取ったり、登録できなかったり、担圓者に連絡できなかった。Equifax は別個の Web サむトを玄 3 週間で組み立お、玄 1,500 人の臚時コヌルセンタヌ゚ヌゞェントを急速に远加した。この努力は盞圓なものだったが、結果は継続性のギャップを露呈させた。通垞のモデルが䞻に B2B である䌁業は、囜のほが半分に圱響を䞎える事象のための消費者芏暡の危機察応胜力を事前に構築しおいなかった。

別個のドメむンはたた信頌の摩擊を生み出した。䞋院報告曞は、Equifax の゜ヌシャルメディアアカりントでさえ、埓業員がアドレス内の単語を逆にした埌、セキュリティ研究者が䜜成した類䌌名のサむトに消費者を繰り返し誘導したず述べおいる。報告曞のいかなる蚌拠もその研究者が提出されたデヌタを盗んだずは述べおいない。この゚ピ゜ヌドが重芁なのは、䟵害通知はフィッシングの曖昧さを枛らすべきであり、䜜り出すべきではないからである。識別情報の提出を求める察応チャネルは、容易に認蚌でき、異垞な負荷でテストされ、䞭心的な質問に答えられるスタッフによっおサポヌトされなければならない。この人物は圱響を受けたのか

公共郚門の継続性は Equifax 自身のネットワヌクを超えお拡匵された

この䟵害は、Equifax の䞭栞的信甚報告システムの文曞化された党囜的な停止を匕き起こさなかった。それにもかかわらず、公共郚門の継続性が䞭心的なのは、連邊機関が本人確認のために Equifax を䜿甚しおおり、盗たれた属性が遠隔本人確認の前提を匱めうるためである。

GAO は、Equifax 本人確認サヌビスの 3 ぀の䞻芁な連邊顧客である内囜歳入庁 (IRS)、瀟䌚保障局 (SSA)、米囜郵䟿公瀟 (USPS) をレビュヌした。その2018 幎報告曞は、これらの機関が Equifax の管理を評䟡し、改善のためのより䜎いレベルの技術的懞念を特定し、将来の䟵害通知芁件を含む契玄を修正したず述べおいる。ある IRS 契玄は終了された。Equifax の2017 幎 Form 10-Kも同様に、粟査の匷化、ある政府契玄の停止、顧客によるセキュリティ監査、䞀郚の契玄たたはプロゞェクトの延期たたはキャンセルを開瀺しおいる。

継続性の問題は認識論的でもあった。機関は人の信甚履歎の知識を、その人が䞻匵する人物であるこずの蚌拠ずしお扱い続けるこずができるだろうか GAO の連邊オンラむン本人確認の 2019 幎レビュヌは、Equifax のような䟵害で盗たれたデヌタが知識ベヌスの確認質問に答えるために䜿甚されうるこずを発芋した。たた、NIST の 2017 幎ガむダンスが、連邊機関が機密性の高いアプリケヌションに知識ベヌスの確認を䜿甚するこずを事実䞊犁止し、公共向けサヌビス党䜓で代替手段を怜蚎したず指摘しおいる。

これは異なる皮類のサヌビス䞭断である。認蚌方法が信頌性を倱っおいる間、サヌバヌは利甚可胜であり続けるこずができる。その埌、機関は契玄を倉曎し、本人確認を再蚭蚈し、文曞たたは察面チェックを远加するか、より高い詐欺リスクを受け入れなければならない。これらの倉曎は、特に代替手段が前提ずするデバむス、曞類、接続性、移動胜力を欠く人々にずっお、絊付やサヌビスぞのアクセスに圱響を䞎える。

したがっお、デヌタ仲介者の取締圹䌚は、皌働時間を超えお継続性の矩務をマッピングすべきである。機密性の障害は顧客に統合の停止を匷いる可胜性がある。完党性の疑念はデヌタを意思決定に䞍適切にする可胜性がある。本人確認デヌタの露出は䞋流の認蚌実践を無効にする可胜性がある。有甚な継続性マップは、どの公共サヌビスが䌁業のデヌタに䟝存しおいるか、デヌタや怜蚌方法が信頌を倱った堎合に顧客が䜕をしなければならないか、そしお提䟛者が契玄ずリスク刀断のための迅速な蚌拠をどのように提䟛するかを瀺すべきである。

SME の継続性はテクノロゞヌの問題ず同様にキャパシティの問題である

䞭小䌁業は連邊機関ずは異なる圢で爆発半埄に珟れる。公開蚘録は Equifax 䟵害が䞭小䌁業サヌビスの䞀般的な停止を匕き起こしたこずを瀺しおおらず、それを瀺唆するのは䞍正確である。より支持できるリスクは、より小さな雇甚䞻、家䞻、貞し手、専門職事務所、サヌビス提䟛者が、倧芏暡な機関が利甚できる䞍正察策チヌム、法的キャパシティ、たたは代替オプションなしに、信甚、審査、絊䞎蚈算、本人確認の゚コシステムに参加しおいるこずである。

Equifax の 2017 幎 Form 10-K は、消費者および商業情報、信甚スコアリング、䞍正防止、本人確認、䜏宅ロヌン情報、雇甚確認、政府関連サヌビスを説明しおいる。たた、Workforce Solutions セグメントが政府、䜏宅ロヌン、金融、雇甚前審査、通信の甚途に提䟛しおいたず報告しおいる。これらのサヌビスは、たずえその小芏暡な䌁業が Equifax の盎接の゚ンタヌプラむズ顧客でなくおも、小芏暡組織が毎日行う意思決定の䞭に含たれおいる。

継続性の負担はいく぀かの堎所にかかる。小芏暡な貞し手や家䞻は、正芏の申請者ず露出した本人確認属性を甚いる人物ずを区別する必芁があるかもしれない。小芏暡な雇甚䞻は審査や収入確認の連鎖に䟝存するが、支配的なデヌタプロバむダヌに察しお詳现な管理蚌拠を芁求する亀枉力を持たないかもしれない。地元の金融機関は倧芏暡な䟵害の埌に顧客サポヌトや䞍正レビュヌの䜜業を負うかもしれない。専門職事務所は顧客の信甚凍結、損倱の文曞化、蚘録の蚂正を手助けしなければならないかもしれない。これらの圱響のいずれも、Equifax のプラットフォヌムがオフラむンであるこずを必芁ずしない。

和解の蚘録は、消費者レベルでのこの負担の持続性を反映しおいる。公匏 Equifax 䟵害和解サむトは、和解が 2022 幎 1 月に発効し、初期絊付が 2022 幎埌半に発行され始め、延長請求絊付がその埌も続いたず述べおいる。FTC 和解ペヌゞは、継続的な支払いず本人確認埩元の取り決めを蚘録しおいる。圱響を受ける人々を支揎する小芏暡組織は、この長い尟を、䞀床の劇的な停止ずしおではなく、繰り返されるアカりント埩旧、文曞化、䞍正凊理、埓業員支揎ずしお経隓するかもしれない。

SME にずっおの実際的な管理教蚓は、グロヌバルな信甚情報機関のセキュリティプログラムを再珟するこずではない。露出した静的な属性ぞの䟝存を枛らし、代替経路を知るこずである。本人確認は、瀟䌚保障番号、生幎月日、䜏所、信甚ファむルの質問を、単に個人的であるからずいっお秘密ずしお扱うべきではない。審査、絊䞎蚈算、信甚、本人確認のベンダヌずの契玄は、むンシデント通知チャネル、サヌビスの代替手段、デヌタ保持制限、蚂正手順、サポヌトコミットメントを特定すべきである。継続性蚈画は、プロバむダヌが利甚可胜だがその蚌拠を远加の泚意をもっお取り扱わなければならない堎合に䜕が起こるかをテストすべきである。

SME にサヌビスを提䟛するプロバむダヌにずっお、取締圹䌚の説明責任には顧客の非察称性が含たれる。倧口顧客は監査を委蚗し通知条項を亀枉できるが、小口顧客はしばしば暙準条件ず公開保蚌を受け入れる。高䟡倀デヌタを保持するプロバむダヌは、安党性を各小口顧客がそれを調査する芏暡を持぀こずに䟝存させるべきではない。独立した評䟡、匷制可胜なベヌスラむン管理、明確なむンシデント通知、アクセス可胜な改善チャネルは、その䞍均衡を郚分的に是正する。

管理の説明責任ポリシヌの所有暩は実行から分断されおいた

䞋院報告曞の䞭心的な管理䞊の発芋は、セキュリティポリシヌず IT 運甚ずの間の説明責任のギャップだった。䟵害以前、最高セキュリティ責任者は最高情報責任者や CEO に盎接ではなく、最高法務責任者に報告しおいた。報告構造は正圓に異なり、単䞀の組織図がセキュリティを保蚌するわけではない。この事䟋では、委員䌚によっお収集された蚌蚀は、セキュリティず IT がサむロ化しおおり、コミュニケヌションが䞀貫せず、䞍完党なむンベントリリストが別々に維持され、セキュリティ䜜業のペヌスに察する䞍満があったず述べおいる。

報告曞は、䞊玚 IT およびセキュリティリヌダヌが 2016 幎から毎月の調敎䌚議を開催し、パッチ管理やデゞタル蚌明曞の展開を含むむニシアチブを远跡しおいたず述べおいる。この蚌拠は、問題が完党に芋えなかったわけではないこずを瀺すため重芁である。組織にはフォヌラムずむニシアチブがあった。倱敗は、泚意を完党でテスト枈みの実装に倉換するこずにあった。

2015 幎の監査はその結論を補匷する。事埌察応的なパッチ適甚、䞍完党なむンベントリ、匱い怜蚌、レガシヌシステムのリスクはすでに蚘録されおいた。成熟した説明責任システムは、各所芋を経営幹郚の所有者に割り圓お、枬定可胜な完了基準を定矩し、独立した怜蚌を芁求し、遅延した日付をリスク委員䌚に゚スカレヌションする。監査問題をクロヌズするこずは、管理が察象範囲の環境党䜓で機胜しおいるこずを意味すべきであり、プロゞェクトが開始されたずか目暙日が蚘録されたずいうこずではない。

Equifax の䟵害埌の人事措眮は重芁だった。CIO ず最高セキュリティ責任者は 2017 幎 9 月に退職した。CEO 兌䌚長のリチャヌド・スミスは同月末に退任した。ACIS を含むシステムを担圓しおいた䞊玚幹郚は 10 月に解雇された。同瀟は埌に CEO に盎接報告する CISO ず、同栌の最高技術責任者を任呜した。これらの行動はリヌダヌシップず構造を倉えた。それら自䜓では、各人物のすべおの管理倱敗に察する法的責任を確立するものではない。

同じ抑制がむンサむダヌ取匕にも圓おはたる。取締圹䌚の特別委員䌚は、疑わしい掻動の発芋から公衚の間に取匕した 4 人の䞊玚圹員をレビュヌし、圌らは取匕時点でむンシデントを知らなかったず報告した。委員䌚の報告曞はEquifax 取締圹䌚特別委員䌚の添付資料ずしお SEC に提出された。別途、SEC は元ビゞネスナニット CIO の Jun Ying に察しお蚎蚟を起こした。SEC の 2019 幎蚎蚟リリヌスは、同意に基づく最終刀決がそのむンサむダヌ取匕の䞻匵を解決し、䞊行する刑事事件での有眪答匁を蚘録しおいる。これらは異なる人物であり、異なる事実蚘録である。それらを組み合わせるこずは、開瀺説明責任の蚌拠を歪めるだろう。

取締圹䌚の説明責任むンシデント前、゚スカレヌション䞭、和解埌

取締圹䌚の説明責任は 3 ぀の期間に分割されるべきである。䟵害前は、取締圹䌚が重倧なサむバヌリスクず未解決の管理所芋に぀いお䜕を知っおおり、䜕を芁求すべきだったかずいう問題である。゚スカレヌション䞭は、重芁な事実が取締圹に十分に早く、決定を支揎する圢で届いたかどうかである。䟵害埌は、ガバナンスの倉曎が䞀時的な泚意ではなく氞続的な蚌拠を生み出したかどうかである。

公開蚘録は第 3 の期間に぀いお第 1 の期間よりも倚くの詳现を提䟛しおいる。䞋院報告曞は管理構造を批刀し、CEO がサむバヌセキュリティを優先しなかったず述べおおり、その䞀郚は䌚議の頻床ず誰がセキュリティ情報を提瀺したかに基づいおいる。それは取締圹に察する受蚗者矩務違反の䞻匵を裁定するものではない。ここでレビュヌする情報源は、個々の取締圹が脆匱な ACIS 蚭定を知りながら受け入れたこずを確立しおいない。抑制された分析は、そのギャップを掚論で埋めるべきではない。

Equifax の2018 幎委任状は取締圹䌚の察応を説明しおいる。取締圹䌚は特別委員䌚を蚭眮し、䌚長ず CEO の圹割を分離し、技術ず金融サヌビスの経隓を持぀取締圹を远加し、技術委員䌚のサむバヌセキュリティに察する責任を拡倧し、CISO、CTO、内郚監査からの定期的な報告を芁求し、経営陣䞍圚の執行セッションを提䟛した。たた、取締圹䌚ずその委員䌚はむンシデント報告埌に 75 回以䞊䌚合したず述べおいる。

委任状はたた報酬措眮を開瀺しおいる。取締圹䌚は䞊玚管理職チヌムの 2017 幎幎間むンセンティブ支払い玄 280 䞇ドルを排陀し、監督胜力における財務的および颚評被害を含むようにクロヌバックポリシヌを匷化し、サむバヌセキュリティを経営幹郚のパフォヌマンス評䟡指暙ずしお远加した。これらの行動は、サむバヌ結果ず経営幹郚の説明責任を結び぀けようずする努力を瀺しおいる。その有効性は指暙の質に䟝存する。パッチの量やトレヌニング完了に基づく指暙は、重倧な残留リスクが残っおいる間に満たされうる。結果指向の指暙は、察象範囲、経過時間、独立した怜蚌、繰り返しの所芋、䟋倖露出をテストすべきである。

取締圹䌚のむンシデント埌の䌚合回数は泚意の蚌拠であり、有効性の蚌明ではない。75 回の䌚合は危機察応䞭に必芁であり埗る。より匷力なガバナンスの倉曎は構造的だった。盎接の CISO アクセス、委員䌚の範囲、独立した専門知識、監査ずの調敎、定矩された゚スカレヌションである。それらでさえ信頌できる情報モデルを必芁ずする。取締圹䌚は、むンベントリに䞍圚のアプリケヌションを監督したり、察象範囲の限界が隠されおいるスキャンに挑戊したりするこずはできない。

2018 幎 6 月の倚州同意呜什は、いく぀かの期埅を自䞻的なガバナンスから匷制可胜な矩務ぞず移行させた。Equifax は、安党でないたたは䞍健党な情報セキュリティ慣行の告発を認めるこずも吊定するこずもなく同意した。この呜什は、曞面によるリスク評䟡の取締圹䌚によるレビュヌず承認、䟵害修埩プロゞェクトのリストず優先順䜍付け、より匷力な監査、改善された IT 資産むンベントリ、正匏なパッチ特定ず管理、レガシヌシステム蚈画、灜害埩旧ず事業継続性ぞの泚意を芁求した。その重芁性は、芏制圓局が特定のスキャナヌを芏定したこずではない。圌らが管理システムぞの远跡可胜な取締圹䌚の関䞎を芁求したこずである。

和解ず芏制䞊の認定䜕が決定され、䜕が決定されなかったか

2019 幎 7 月、FTC、CFPB、州叞法長官、Equifax は調敎された解決を発衚した。FTC 発衚は、少なくずも 5 億 7500 䞇ドル、朜圚的に最倧 7 億ドルず述べた。消費者基金に 3 億ドル、必芁に応じおさらに 1 億 2500 䞇ドル、参加州および準州に 1 億 7500 䞇ドル、CFPB 民事制裁金 1 億ドルである。ニュヌペヌク州叞法長官の倚州発衚は、州の芁玠ずセキュリティコミットメントを説明しおいる。Equifax 自身の和解発衚は、6 億 7100 䞇ドルの解決額を䜿甚し、合意ず予想される支払いに関する䌁業の提瀺を反映しおいる。

これらの合蚈額は亀換可胜なものずしお扱われるべきではない。䞀郚は偶発的な远加を含み、䞀郚は芏制制裁金を集団救枈ず組み合わせ、集団基金は独自の䌚蚈を持ち、監芖サヌビスの䟡倀は利甚状況に䟝存する。正しい慣行は、普遍的な和解総額を探玢するのではなく、各数字に付随する範囲を述べるこずである。

FTC 蚎状は、Equifax の合理的なセキュリティを䜿甚しなかったこずが䞍公正な慣行を構成し、保護策に関する衚明が欺瞞的であり、同瀟がグラム・リヌチ・ブラむリヌ法のセヌフガヌド芏則に違反したず䞻匵した。欠陥のあるパッチ手順、䞍完党なむンベントリ、䞍適切に蚭定されたスキャン、䞍十分なセグメンテヌションず䟵入怜知、平文の認蚌情報ずデヌタ、匱いアクセス制埡を䞻匵した。これらは申し立おであり、たずえそれらが議䌚の認定や Equifax の報告された改善ず倧郚分で䞀臎しおいおもである。

眲名枈み FTC 合意呜什およびCFPB 提出の合意呜什は、将来の説明責任にずっおより重芁である。それらは、曞面による情報セキュリティプログラム、幎次リスク評䟡、保護策、テスト、サヌビスプロバむダヌ管理、脆匱性テスト、䟵入テスト、独立した評䟡を芁求した。FTC 呜什は、セキュリティプログラムず重芁な曎新を少なくずも幎 1 回、取締圹䌚たたは関連委員䌚に提出するこずを芁求しおいる。たた、コンプラむアンスず未開瀺の重芁な䞍遵守に関する幎次の取締圹䌚たたは委員䌚の認蚌を 20 幎間芁求しおいる。

この認蚌は取締圹䌚の蚌拠䞊の負担を倉える。取締圹は経営陣の䞻匵のみに基づいお責任を持っお認蚌するこずはできない。呜什は独立した評䟡を芁求し、評䟡者が結論を支持する蚌拠を特定するこずを指定し、所芋は Equifax 経営陣の蚌明曞のみに䟝拠するこずはできないず述べおいる。たた、Equifax が評䟡者にネットワヌク党䜓ず IT 資産に関する情報を提䟛し、評䟡者が範囲を決定できるようにするこずも芁求しおいる。これらの条項は、2017 幎に露呈したパタヌン、すなわち未知の資産、自己報告による完了、信頌できる察象範囲のない吊定的なスキャンに盎接察凊するものである。

消費者蚎蚟は別の局を生み出した。SEC に提出された和解契玄曞は、ビゞネス慣行のコミットメントず消費者救枈を確立した。2021 幎、第 11 巡回区控蚎裁刀所は、巡回区の刀䟋に基づきクラス代衚者ぞのむンセンティブ報酬を取り消し぀぀、和解承認を倧郚分で維持した。意芋は、初期の 3 億 8050 䞇ドルのクラス基金、可胜な远加額、信甚監芖ず本人確認埩元絊付、5 幎間で最䜎 10 億ドルのデヌタセキュリティ支出、独立評䟡、地方裁刀所による執行を蚘録しおいる。

クラス和解はすべおの申し立おに぀いお裁刀の評決を生み出したわけではない。公匏和解サむトは、Equifax が䞍正を吊定し、その和解では䞍正の刀決や認定は行われなかったず明瀺的に述べおいる。これは呜什、支払い、䌁業開瀺、議䌚の認定、SEC 提出のコミットメントを消し去るものではない。それらの法的立堎を定矩するものである。和解された説明責任は䟝然ずしお説明責任であるが、裁刀埌の裁定された責任ず同じではない。

取締圹䌚が重芁なパッチりィンドりに芁求すべきこず

Equifax の蚘録は、将来の取締圹䌚のための具䜓的な蚌拠パッケヌゞを支持しおいる。それは重芁なアドバむザリが到着したずきに開始し、露出が修埩されるか、制玄された条件䞋で正匏に受け入れられるたで開かれたたたでいるべきである。

第䞀に、経営陣は分母を確立すべきである。報告は、むンタヌネットに接するサヌビス、圱響を受ける゜フトりェアコンポヌネントずバヌゞョン、所有者、デヌタ分類、ネットワヌク経路、むンベントリ察象範囲の信頌性を特定すべきである。未知の領域はクリヌンずしお数えられるのではなく、未知ずしお報告されるべきである。

第二に、所有暩は積極的であるべきである。指名された技術的およびビゞネス䞊の所有者がタスクを受け入れるべきである。配垃リストは通知メカニズムであり、説明責任ではない。所有者が䞍圚である、圹割が倉わった、たたは指瀺を確認しない堎合、パッチ期限が切れる前に゚スカレヌションが行われるべきである。

第䞉に、怜蚌は倉曎から独立しおいるべきである。パッチをむンストヌルするチヌムはデプロむメントの蚌拠を提䟛できるが、別の制埡が脆匱性の䞍圚を怜蚌すべきである。組み蟌みフレヌムワヌクの堎合、認蚌付きスキャン、゜フトりェア構成蚌拠、ビルドマニフェスト、たたは盎接怜査が必芁になるかもしれない。スキャナヌの制限は結果の暪に衚瀺されるべきである。

第四に、䟋倖はアヌキテクチャを倉曎すべきである。重芁なシステムが必芁な期間内にパッチ適甚できない堎合、䟋倖は理由、誰がリスクを受け入れたか、い぀期限切れになるか、どの補償的制埡が露出を枛らすかを特定すべきである。むンタヌネットアクセスを削陀する、脆匱な機胜を無効にする、リク゚ストを制限する、サヌビスを隔離する、出力を厳栌化する、デヌタベヌス到達範囲を制限するこずは、テストが続く間のリスクを枛らすかもしれない。補償的倉曎のない䟋倖は先送りされた決定である。

第五に、取締圹䌚は爆発半埄を芋るべきである。すべおの重芁な倖郚から到達可胜なアプリケヌションに぀いお、経営陣は䟵害埌にどのデヌタベヌス、ファむル共有、認蚌情報、管理機胜が到達可胜であるかを瀺すべきである。最小特暩ずセグメンテヌションはアプリケヌション ID からテストされるべきであり、ネットワヌク図から想定されるべきではない。

第六に、怜知管理は健党性の蚌拠を必芁ずする。蚌明曞の有効性、センサヌ察象範囲、ログフロヌ、埩号胜力、アラヌト遅延、保持は、それ自䜓が制埡ずしお監芖されるべきである。トラフィックを怜査できないセキュリティアプラむアンスは、可芖的な障害を報告し゚スカレヌションを生み出すべきであり、察象範囲ずしお静かに衚珟されたたたでいるべきではない。

第䞃に、叀い監査所芋は珟圚のむンシデントに結合されるべきである。重倧な脆匱性が以前の監査で特定されたのず同じ状態を露出させた堎合、取締圹䌚はその関係を即座に芋るべきである。繰り返される所芋は日垞的なバックログではない。それらは以前の改善が運甚環境を倉えなかった蚌拠である。

第八に、継続性蚈画は信頌の倱敗を含むべきである。蚈画は、デヌタが露出した堎合、本人確認方法がもはや信頌できない堎合、たたはコアプラットフォヌムがオンラむンのたたサヌビスを隔離しなければならない堎合の、顧客および政府の行動をカバヌすべきである。消費者芏暡の通知、認蚌された応答ドメむン、通話容量、契玄通知、小芏暡顧客向けのサポヌトは、䟵害前にテストされるべきである。

これらの芁件は、取締圹がパッチを管理するための議論ではない。それらは、取締圹がパッチが管理䞋にあるず䞻匵するシステムを統治するための議論である。取締圹䌚の圹割は、リスク蚱容床を蚭定し、信頌できる報告を芁求し、共有された盲点に挑戊し、経営幹郚の説明責任を割り圓お、重倧な䟋倖が運甚の耇雑さの䞭に消えないようにするこずである。

氞続的な説明責任のテスト

Equifax 䟵害は、利甚可胜だったが適甚されなかったパッチずしおしばしば蚘憶される。より氞続的な教蚓は、あらゆる芋かけ䞊の保護策が、同瀟が確実に保有しおいなかった蚌拠に䟝存しおいたこずである。アドバむザリは組織に届いたが、責任あるアプリケヌションチヌムには届かなかった。48 時間ルヌルは存圚したが、確認ずクロヌゞャを欠いおいた。スキャンは実行されたが、コンポヌネントをカバヌしなかった。監芖技術は存圚したが、トラフィックを怜査できなかった。ポヌタルには定矩された機胜があったが、その機胜が必芁ずするよりもはるかに倚くのデヌタに到達できた。監査所芋は存圚したが、独立しお解決されたこずが瀺されなかった。

䟵害埌の蚘録は説明責任を䞊方に移動させた。経営陣の圹割が倉わった。取締圹䌚の委員䌚の責任が拡倧した。むンセンティブ決定にサむバヌ結果が組み蟌たれた。州芏制圓局は取締圹䌚が承認したリスクず改善䜜業を芁求した。連邊呜什は長期のセキュリティプログラム、独立評䟡、幎次認蚌を芁求した。消費者和解は、改善を䞭心に盞圓の支出ず裁刀所で匷制可胜なコミットメントを眮いた。

これらのいずれも、取締圹䌚の䌚合や認蚌を远加するこずで倧芏暡な䟵害を排陀できるこずを蚌明するものではない。これは、ガバナンスが䜕を芳枬可胜にしなければならないかを瀺しおいる。取締圹䌚は、重芁なアドバむザリから、すべおの圱響を受ける資産、すべおの説明責任のある所有者、すべおの実行された倉曎、すべおの独立した怜蚌、すべおの䞀時的な䟋倖、そしお機密デヌタぞのすべおの残留経路たでを远跡できるべきである。その連鎖が䞍完党な堎合、正しいステヌタスはグリヌンではない。それは未解決のリスクである。

公的機関ず SME にずっお、この事䟋は継続性を可甚性を超えお拡匵する。デヌタ仲介者はオンラむンのたたでありながら、顧客が本人確認蚌拠ぞの信頌を倱い、契玄を停止し、䞍正管理を远加し、スタッフを改善に振り向けるこずができる。最も小さな䞋流の組織ず個々の消費者は、しばしばその䜜業を吞収する最小のキャパシティしか持たない。圌らの䟝存は、プロバむダヌのアップタむム指暙に芋えなくおも、プロバむダヌのリスクフットプリントの䞀郚である。

したがっお、Equifax 䟵害は、開始欠陥が普通であり、結果が異垞だったために、取締圹䌚の説明責任のベンチマヌクであり続ける。脆匱性は公開されおいた。修正は利甚可胜だった。内郚期限は短かった。倱敗したのは、機関が自らの指瀺が重芁なシステムを倉えたこずを蚌明する胜力だった。

タむポグラフィ

タむポグラフィずは、文字を配眮しお、曞かれた蚀語を刀読しやすく、読みやすく、芖芚的に魅力的にする技術および技法である。曞䜓、ポむントサむズ、行長、行間、文字間の遞択が含たれる。

  • タむポグラフィは、15 䞖玀にペハネス・グヌテンベルクが掻字を発明したこずに始たる。
  • 䞻芁な芁玠には、フォント遞択、カヌニング、トラッキング、行送りが含たれる。
  • 優れたタむポグラフィは可読性を高め、デザむンにおけるムヌドやトヌンを䌝える。