要約

  • Apache は2017年3月7日に重大な Struts 脆弱性を開示し、修正バージョンを提供した。Equifax は48時間以内のパッチ適用指示を社内で回覧したが、信頼できる資産目録がなく、適切なアプリケーション所有者に連絡・拘束できず、範囲の不十分なスキャン結果を暴露がない証拠として扱ったため、オンライン紛争ポータルは脆弱なままであった。
  • 攻撃者がポータルを通じて侵入すると、脆弱なセグメンテーション、広く使用可能な認証情報、不十分なデータガバナンスが事件を拡大させた。暗号化トラフィック検査パスにおける証明書の失効が7月下旬まで検知を遅らせた。そのため、この侵害はインシデント対応のテストとなる前に、経営陣の説明責任のテストとなった。
  • 法的記録はステータスごとに区別する必要がある。議会および GAO の報告書は管理上の失敗を説明している。FTC の訴状は申し立てを述べている。2018年の州命令および2019年の連邦命令は同意義務を課している。刑事起訴状は攻撃者の行為を申し立てている。消費者和解は、争点となったすべての請求を解決した裁判所の判断なしに承認された。
  • 取締役会にとっての永続的な教訓は証拠に基づくものである。ポリシーの期限、一斉送信メール、スキャナー結果、ダッシュボードの色は終了ではない。取締役は、重要資産が把握され、指名された所有者が作業を受け入れ、是正措置が独立して検証され、例外に期限が設定され、機密データへの残存経路が制限されているという証拠を必要とする。

侵害は単一のパッチ未適用ではなく、管理連鎖であった

Equifax 侵害の最も短い説明は正確ですが不完全です。同社はインターネットに面した Apache Struts の脆弱性にパッチを適用せず、攻撃者がそれを悪用し、約1億4700万人の個人情報が盗まれました。この説明は侵入口を特定しています。しかし、公開勧告、ベンダーによる修正、社内の重大警告、48時間の期限があったにもかかわらず、大手消費者信用調査機関が何ヶ月も露呈したままだった理由は説明していません。

より完全な記録は連鎖を示しています。Apache は重大なリモートコード実行問題を公開し、修正済み Struts リリースを推奨しました。Equifax は警告を受け、社内指示を送信しました。この指示は閉ループの所有権を確立しませんでした。同社には影響を受けるソフトウェアがどこで動作しているかの信頼できる目録がありませんでした。スキャンは脆弱なコンポーネントを見つけるほど深く検索しませんでした。結果がないことは暴露がないこととして扱われました。代償的な管理策は、インターネットに面した紛争アプリケーションの手動レビューを強制しませんでした。後に攻撃者が侵入した際、アプリケーションはその機能に必要なものを超えたシステムに到達できました。アクセス可能なファイル共有にある認証情報により、より広範な移動が可能になりました。機密データは十分に制限されていませんでした。監視パスの証明書が期限切れだったため、暗号化トラフィックは検査されていませんでした。その証明書が交換された後にようやく検知が行われました。

このため、この侵害は単なるパッチ管理の問題ではなく、取締役会の説明責任のケースであり続けています。パッチはソフトウェアの成果物です。パッチ保証は管理システムです。それは目録、所有権、エスカレーション、変更実行、検証、例外処理、監視、アーキテクチャ、証拠に依存します。これらの機能のいくつかが同じ方向で失敗すると、組織はプロセスの可視部分を遵守しながらも、実質的に露呈したままになる可能性があります。

公開記録は強力ですが一様ではありません。下院監視・政府改革委員会多数派スタッフ報告書および上院恒久的捜査小委員会スタッフ報告書は立法調査であり、司法判断ではありません。政府監査院のレビューは Equifax およびフォレンジック資料に加えて連邦顧客機関から得たものです。FTC の訴状は訴訟で提出された申し立てを含んでいます。会社の SEC 提出書類は経営陣の説明と財務開示を含んでいます。同意命令は法的立場を保持しながら義務を定めています。この記事では各情報源をそれが確立できるものに使用し、それらのカテゴリを単一の評決に統合しません。

勧告から侵害までのタイムライン

順序は重要です。説明責任は時間とともに変化します。企業は影響を受けるシステムを特定し、修正をテストし、展開するために短期間を合理的に必要とすることができます。その防御は、重大な問題がリモートで悪用可能であることが知られ、ベンダーの修正が利用可能で、システムがインターネットに露出し、企業自体が48時間の対応期限を課している場合に弱まります。

日付イベントと説明責任の重要性
2017年3月7日Apache が CVE-2017-5638 に関するセキュリティ情報 S2-045 を公開し、重要と評価し、修正済み Struts バージョンへのアップグレードを推奨。
3月8日議会報告書によると、US-CERT が Equifax に脆弱性を警告。
3月9日Equifax のグローバル脅威および脆弱性管理チームが、影響を受けるシステムに48時間以内にパッチを適用する指示を回覧。配布と確認のプロセスは、すべての責任ある所有者がタスクを受け取り、受け入れたことを確立しなかった。
3月10日下院報告書は、後のフォレンジックレビューで見つかった悪用関連活動の最初の証拠を特定。これは Equifax による侵害の同時発見ではなかった。
3月15日Equifax が脆弱な Struts インスタンスを見つけるためのスキャンを実行。脆弱なインターネット公開システムは見つからなかったが、スキャンは紛争ポータルのコンポーネントを含むサブディレクトリに到達しなかった。
3月16日脆弱性が脅威および脆弱性会議で議論された。ポータルはまだ特定されず、パッチも適用されなかった。
5月13日下院および上院報告書は、この日付で自動消費者面接システム(ACIS)への攻撃者の侵入を特定。Web シェルにより永続的なリモートアクセスが可能になった。
5月13日~7月29/30日攻撃者はデータベースにクエリを実行し、データを削除しながら検知されずに活動。下院報告書は76日間の攻撃期間を記載。
7月29日Equifax が ACIS トラフィック監視パスで使用されていた期限切れの証明書を交換。不審なトラフィックがほぼ即座に可視化され、ブロックされた。
7月30日追加の不審なトラフィックが発生。Equifax は ACIS ポータルをオフラインにし、報告書に記載された積極的なアクセスを終了。
7月31日Equifax の担当者は、個人を特定できる情報が削除された可能性があると結論。CIO が当時の CEO リチャード・スミスにインシデントを報告。
8月2日Equifax は外部弁護士および Mandiant を雇い、FBI に通報。
8月11日~24日フォレンジック調査は、大量の個人情報を含むデータベースへの懸念から、相当量がアクセスされたという確認へと移行。
8月24日~25日下院のタイムラインによると、スミスが電話で取締役会全体に報告。
9月4日Equifax と Mandiant が約1億4300万人の影響を受けた米国消費者の初期リストをまとめる。
9月7日Equifax が Form 8-K の添付資料を通じてインシデントを公表し、専用の対応ウェブサイトとコールセンターを開設。
9月15日~26日CIO と最高セキュリティ責任者が退任を発表。その後、スミスが会長兼 CEO を退任。
10月2日Equifax は特定された米国人口が250万人増加したと発表。パッチ警告の転送失敗に関連して、シニアテクノロジー幹部が解雇された。
2018年3月1日Equifax はさらに240万人の米国消費者の名前と部分的な運転免許証情報が取得されたことを特定し、一般的に報告されている合計は約1億4790万人となった。

記録によって数値が異なるのは、影響を受けた人口が時間の経過とともに精緻化され、一部の文書が総数を四捨五入しているためです。Equifax の9月7日の SEC 提出発表は約1億4300万人の米国消費者の5月中旬から7月にかけての不正アクセスを記載。後の記録は一般的に約1億4700万人を使用。下院報告書は1億4800万人に四捨五入。責任ある結論は、ある数値が他の数値を無効にするということではありません。開示時点では暫定的であり、分析が進むにつれて拡大したということです。

3月7日:利用可能な修正を伴う重大なベンダー通知

脆弱性自体は曖昧でもなく、修正なしで提示されたわけでもありません。Apache S2-045 情報は、Jakarta Multipart パーサーを介したファイルアップロード時のリモートコード実行の可能性を説明し、最大評価の Critical を割り当て、影響を受ける Struts ブランチを特定し、2.3.32または2.5.10.1へのアップグレードを推奨しました。回避策オプションも提供されました。CVE-2017-5638 の National Vulnerability Database エントリは、攻撃者制御の HTTP ヘッダーが欠陥のある例外およびエラーメッセージ処理に到達し、Critical 9.8 CVSS 3.1基本スコアを記録しています。

開示日と NVD 公開日の区別は保持する価値があります。Apache の情報と修正バージョンは3月7日に利用可能でした。NVD は3月10日を公開日としてリストしています。議会の年表はベンダーの開示と Equifax が受信した US-CERT の連絡に依存しています。インシデントをレビューする取締役会は、したがって、実行可能なベンダーの修正がいつ会社のプロセスに入ったかを尋ねるべきであり、すべての下流データベースが公開サイクルを完了したときではありません。

Equifax は確かに反応しました。セキュリティチームは3月9日に影響を受ける担当者に48時間以内にパッチを適用するよう指示する広範な社内メッセージを送信しました。この行動は、会社が勧告を完全に無視したという主張を反駁します。また、中央の管理上の弱点を明らかにします。指示をブロードキャストすることが実行のメカニズムとして扱われました。

FTC の申し立てによると、400人以上の従業員がクリティカルパッチ配布プロセスに含まれていましたが、ポリシーは受信者が指示を確認したり、適用を確認したりすることを要求していませんでした。議会調査はさらに具体的なルーティングの失敗を追加します。ACIS を担当する開発者は警告リストに載っていませんでした。そのチェーン内のシニアマネージャーは通知を受け取りましたが、開発者やチームに転送しませんでした。Equifax は後に電子メールを転送しなかったとしてシニアエグゼクティブを解雇しました。その人事措置は一つの失敗に対処しましたが、なぜ重要な管理が単一の転送ステップに依存していたのかという疑問に答えていません。

防御可能な緊急パッチプロセスは、勧告を説明責任のあるレジスターに変換します:影響を受ける製品とバージョン、外部から到達可能なインスタンス、ビジネスオーナー、テクニカルオーナー、リスク階層、必要な完了時間、変更記録、確認方法、例外権限、代償管理、およびいずれかのフィールドが未解決の場合のエスカレーション。Equifax のプロセスには期限がありましたが、信頼できる終了の証拠が欠けていました。したがって、48時間ルールはポリシーとして存在しましたが、信頼できる結果にはなりませんでした。

資産目録が最初の欠落した管理策だった

ACIS を影響を受けるものとして特定できなかったことは、制御された環境における予見不可能なスキャン異常ではありませんでした。Equifax 自身の2015年のパッチ管理監査は、後に侵害の中心となる弱点を特定していました。上院報告書によると、その監査は、会社がパッチスケジュールに従っておらず、反応的なパッチプロセスを持ち、インストールを保証しない「名誉システム」を使用し、包括的な IT 資産目録を欠いていることを明らかにしました。また、2017年8月までに正式なフォローアップ監査は完了しておらず、インタビュー対象者は在職中に他のパッチ管理監査を覚えていなかったと述べています。

下院報告書は、目録ギャップの実際的な結果を再現しています。資産とネットワーク文書の正確なリストがなければ、システムにパッチが適用され、設定され、スキャンされていることを保証することが困難でした。報告書によると、2015年の是正計画の完了予定日は2017年6月30日でした。上院調査によると、侵害の時点では、完全な目録はまだ整っていませんでした。

この文脈での目録は、サーバーのリスト以上のものを意味します。CVE-2017-5638 はアプリケーション内に埋め込まれたソフトウェアフレームワークに影響を与えました。有用な目録は、インターネットに面したアプリケーションをそのランタイムコンポーネント、バージョン、所有者、データアクセス、依存関係、およびデプロイメント場所に接続する必要がありました。ハードウェアレジスターは ACIS サーバーが存在することを示すことができましたが、内部に脆弱な Struts ライブラリがあることを明らかにできませんでした。管理目標はソフトウェアとサービスの可視性であり、単なる機器の会計ではありませんでした。

レガシーの複雑さはその作業をより困難にしましたが、より重要にしました。下院報告書は ACIS を1970年代にルーツを持つカスタム構築システムであり、買収と成長の年に形成された複雑な環境で動作していると説明しています。複雑さは、目録が高コストで不完全である理由を説明できます。しかし、機密消費者データに接続するインターネットに面したアプリケーションで何が実行されているかを知るための例外として安全に機能することはできません。完全な発見がまだ不可能な場合、代償的な対応は、より強力な分離、より厳格な出力制御、手動のコードおよび構成レビュー、または外部アクセスからの一時的な削除であるべきです。

上院報告書の比較は有用ですが、過大評価すべきではありません。TransUnion と Experian も Struts の勧告に直面し、目録と複数のスキャンまたはレビュー方法を使用し、影響を受けるインスタンスを特定または軽減したことが判明しました。これは、それらの全体的なセキュリティプログラムが完璧であったことを証明するものではありません。しかし、Equifax の結果が脆弱性の不可避的な特性ではなかったことを示しています。同じ公開通知に直面した同業他社は、実質的に異なる運用結果に達しました。

取締役会の目的にとって、目録の問題はリスクカバレッジの声明として枠組みされるべきです。「ネットワークをスキャンしました」というのは、分母がなければ意味がありません。取締役は、外部から到達可能なサービスの何パーセントが目録に含まれているか、何パーセントに指名された所有者がいるか、ソフトウェア構成がどの程度把握されているか、どのレガシーシステムが自動的に評価できないか、例外がどのように隔離されているかを知る必要があります。未知の資産に対するスキャンは、活動を生み出しますが、保証は生み出しません。

スキャンの失敗が不確実性を誤った自信に変えた

3月15日、Equifax は Struts の問題に対して脆弱なシステムを特定するための自動スキャンを実行しました。何も見つかりませんでした。下院報告書によると、スキャナーはルートディレクトリで動作し、Struts がリストされているサブディレクトリをクロールしませんでした。上院報告書も同様に、ツールの繰り返し使用が適切なネットワークレベルで検索しなかったと述べています。FTC の訴状は、スキャナーが潜在的に脆弱なすべての資産を検索するように設定されておらず、Equifax にはスキャナーを実行する必要がある場所を示す正確な目録が欠けていたと申し立てています。

これらの記録のいずれも、脆弱性スキャナーが本質的に効果的でないことを確立していません。それらはより狭く、より重要なポイントを確立しています。否定的な結果は、テストカバレッジとツール能力に関連してのみ価値があります。影響を受けるコンポーネントがスキャナーの検索深度より下に存在する場合、「脆弱性が見つかりません」は「この構成と範囲内で脆弱性が見つかりません」を意味します。「脆弱性は存在しない」という意味ではありません。

この区別は監査言語では初歩的ですが、経営陣の報告ではしばしば失われます。赤い発見は作業を促進します。緑の結果は作業を終了します。緑が不完全な範囲によって生成される可能性がある場合、ダッシュボードは無知を報います。未確認の否定的な結果の正しい扱いは、残存する不確実性です。インターネットに面したサービス上の重要なリモート悪用可能な問題の場合、その不確実性は第二の方法をトリガーする必要があります。認証付きスキャン、ソフトウェア構成分析、ソースおよびビルドレビュー、プロセス検査、パッケージ検索、証拠に裏付けられた所有者の証明、または管理された環境での直接アプリケーションテスト。

第二の方法の欠如が重要だったのは、パッチ指示自体が閉ループではなかったからです。直接アプリケーション責任を持つ従業員は指示を受けておらず、中央目録は不完全であり、スキャナーはネストされたコンポーネントを見逃す可能性がありました。これらは独立した保護策ではありませんでした。それらは同じ死角を共有する3つの管理策でした。それぞれがアプリケーションの所有権と構成の正確な知識に依存していました。したがって、それらの見かけ上の冗長性は見た目よりも弱かったのです。

これは繰り返し発生する取締役会の問題です。経営陣は、同じ理由で失敗するかどうかをテストせずに、複数の管理策をレイヤーとして提示する場合があります。資産データベース、電子メール配信リスト、脆弱性スキャナー、パッチダッシュボードはすべて、同じ不完全な所有権記録から派生する可能性があります。記録がレガシーアプリケーションを省略した場合、4つの管理策すべてが一緒に成功を報告できます。取締役会のリスクレビューは、管理策の数だけでなく、それらのデータソースと障害モードが独立しているかどうかを尋ねるべきです。

5月13日から7月30日:侵入口がデータアクセス経路になった

議会報告書は、攻撃者の ACIS への実質的な侵入を5月13日としています。後の司法省の起訴状発表は、中国の人民解放軍の4人のメンバーを侵入で起訴しました。起訴状は、被告が Struts を悪用し、偵察を行い、認証情報を取得し、データベースにクエリを実行し、盗まれたファイルを圧縮および分割し、複数の国のインフラを介してトラフィックをルーティングし、痕跡を消そうとしたと申し立てています。これらは刑事告発文書における申し立てであり、被告は有罪が証明されるまで無罪と推定されます。起訴状は、申し立てを確定された事実に変換するのではなく、帰属された攻撃者の行為に関連します。

下院報告書は、攻撃者が Web シェルをインストールし、侵害されたシステムを制御するための永続的な Web ベースの手段を与えたと述べています。その後、暗号化されていないユーザー名とパスワードを含むファイルを発見しました。ACIS はビジネス目的のために3つのデータベースにアクセスする必要がありましたが、無関係のデータベースからセグメント化されていませんでした。認証情報を使用して、攻撃者は48のデータベースに到達し、約9,000のクエリを送信し、何百回も暗号化されていない個人情報を見つけました。

FTC の訴状は、告発の形式で同じアーキテクチャポイントを述べています。不十分なセグメンテーションのため、攻撃者は無関係の数十のデータベースを横断でき、ACIS に接続された保護されていないファイル共有には平文の管理認証情報が含まれていたと述べています。攻撃者がネットワークを横断するために複雑なツールを必要としなかったと申し立てています。これは重要です。なぜなら、エントリ脆弱性の深刻度は、エントリ後に侵害されたアプリケーションが到達できるものの関数だからです。

セグメンテーションはしばしば技術的な詳細として説明されますが、爆風半径に関する経営陣の決定を表現しています。インターネットに面した紛争ポータルは、紛争を処理するために必要なネットワークパス、データベース権限、およびファイルアクセスのみを持つべきです。3つのデータベースが必要な場合、そこで得られた認証情報がさらに数十のデータベースを開くことを可能にする設計には説明責任が課されるべきです。管理策は、公開アプリケーションが最終的に侵害される可能性があることを想定し、そのイベントが広範な機関アクセスにならないようにする必要があります。

認証情報は同じ境界の一部です。アクセス可能な共有に平文で再利用可能な管理認証情報を保存することは、アプリケーション侵害とデータベース管理の間の分離を崩壊させます。より強力な慣行は、サービス ID を分離し、各 ID を定義されたリソースとアクションに制限し、管理されたシークレットストレージを使用し、認証情報をローテーションし、特権使用を監視し、アプリケーションアカウントが無関係なデータストアを列挙できないようにすることです。記録は、どの最新ツールがすべてのステップを止めたかを発明することを支持していません。広範な認証情報とフラットな到達範囲がインシデントを拡大したという結論を支持しています。

データガバナンスは最終的な増幅要因を提供しました。FTC の訴状は、Equifax が大量の社会保障番号と支払いカード情報を平文で保存し、機密情報をビジネスニーズを超えてアクセス可能な開発およびテスト環境にコピーしたと申し立てています。GAO は Equifax 自身のインシデント後の分析を4つの促進要因として要約しました:特定、検出、データベースへのアクセスのセグメンテーション、データガバナンス。この定式化は、イベントをパッチ適用に還元するよりも有用です。特定により露呈が持続しました。検出により活動が継続しました。セグメンテーションにより拡大が可能になりました。データガバナンスにより、何が取得され、それがどれほど価値があるかが増加しました。

期限切れ証明書は監視管理の失敗だった

暗号化トラフィック検査は、設計上は存在したが運用上失敗した別の管理策でした。ACIS の監視デバイスは、関連トラフィックを復号化して検査するために有効な証明書を必要としていました。証明書は期限切れでした。Equifax が7月29日に広範な証明書作業の一環としてそれを交換したとき、セキュリティチームはほぼ即座に不審な送信トラフィックを観察しました。不審な宛先はブロックされました。翌日に関連トラフィックが表示され、ACIS はオフラインにされました。

公開記録は期間について一致しておらず、その不一致は可視化されるべきです。上院報告書は、ポータル関連の証明書が交換の約8ヶ月前の2016年11月に期限切れだったと述べています。FTC の訴状は、発見の少なくとも10ヶ月前に期限切れだったと申し立てています。下院報告書は、期限切れ証明書のため監視デバイスが19ヶ月間非アクティブだったと述べています。これらは基盤となる記録の異なる基準、デバイス、または説明を反映している可能性があります。健全な結論は、検査が何ヶ月も損なわれていたことであり、一つの期間が資格なしに主張できるということではありません。

下院報告書は規模を追加します。300以上のセキュリティ証明書が期限切れで、そのうち79はビジネスクリティカルドメインの監視に関連していました。上院報告書は、証明書の責任は個別に管理されており、一元化されたライフサイクルプログラムがまだ実装中であったと説明しています。これは単に一人のオペレーターが見落とした日付ではありません。組織がまだ資産全体にわたって信頼できる証明書の発見、所有権、更新、および障害警告を持っていなかった証拠でした。

証明書管理は、パッチ適用と同じ保証チェーンに属します。どちらも、既知の有効期限または脆弱性状態を持つ資産、指名された所有者、期限、可能な場合は自動更新または是正、およびアクションが完了しない場合のエスカレーションを含みます。どちらも危険なサイレント障害を引き起こす可能性があります。公開証明書が期限切れの Web サービスは、ユーザーがエラーを表示するため可視です。監視パス内の期限切れ証明書はさらに悪い可能性があります。サービスは動作しているように見えますが、ディフェンダーは可視性を失います。

交換後のほぼ即時の検出は特に重要です。証明書が最新であった場合、すべての以前の悪意のあるリクエストが検出されたことを証明するものではありません。しかし、Equifax がすでに所有していた管理が復元されるとすぐに有用な証拠を生成したことを示しています。したがって、監視技術への投資だけでは十分ではありませんでした。運用保守がその投資が機能するかどうかを決定しました。

発見は決定的であり、開示は第二の運用テストだった

不審なトラフィックが可視化されると、Equifax は迅速に宛先をブロックし、調査し、ACIS をオフラインにしました。同社はシニアテクノロジーおよびセキュリティリーダーに通知し、外部弁護士と Mandiant を雇い、FBI に連絡し、個人情報が削除されたかどうかの判断を開始しました。記録のこの部分は、以前の失敗によって消去されるべきではありません。7月29日以降のインシデント封じ込めは、3月7日以降の脆弱性クロージャーよりも実質的に迅速でした。

発見と公表の間の遅延には文脈が必要です。Equifax は7月29日時点で影響を受けた人口を知りませんでした。Mandiant の作業は、複雑な環境全体のアクセスを再構築し、データタイプを決定し、影響を受ける個人を特定する必要がありました。下院のタイムラインによると、調査は8月11日までに大量の個人情報を含むテーブルを特定し、8月24日までに重要なアクセスを確認し、9月4日までに1億4300万人の米国消費者の初期リストを完成させました。公表は9月7日に行われました。

その順序はエスカレーションに関する疑問を排除しません。下院報告書によると、CEO は7月31日に通知され、取締役会全体は8月24日から25日に通知されました。しかし、「発見から6週間後」というそれ自体が違法な開示遅延の証明ではない理由を示しています。法的義務は異なり、範囲はまだ確立中でした。公開記録における最も強い批判は、開示のタイミングが特定の開示法に違反したという司法判断ではなく、対応準備に関するものです。

最初の公表は、Equifax Form 8-K の添付資料として提出され、犯罪者が米国のウェブサイトアプリケーションの脆弱性を悪用したこと、および影響を受けたデータのカテゴリを記載しました。また、Equifax は中核的な消費者または商業信用報告データベースで不正活動の証拠を発見していないと述べています。その声明は、後に攻撃者が ACIS 外の多数のデータベースに到達したという発見と共存できます。「証拠なし」という命名された中核システムに関する声明は、他のデータベースがアクセスされなかったという主張と同じではありません。

消費者対応インフラは需要の下でうまく機能しませんでした。下院報告書は、専用ウェブサイトとコールセンターが即座に圧倒されたことを明らかにしました。消費者は時々矛盾するまたは不完全な結果を受け取り、登録できず、担当者に連絡できませんでした。Equifax は別のウェブサイトを約3週間で組み立て、約1,500人の一時的なコールセンターエージェントを迅速に追加しました。努力は substantial でしたが、結果として継続性のギャップが露呈しました。通常のモデルが主に B2B であった企業は、国のほぼ半数に影響を与えるイベントのために消費者規模の危機対応能力を事前に構築していませんでした。

別のドメインは信頼の摩擦も生み出しました。下院報告書は、Equifax のソーシャルメディアアカウントでさえ、従業員がアドレスの単語を逆にした後、セキュリティ研究者によって作成された同様の名前のサイトに消費者を繰り返し誘導したと述べています。報告書にその研究者が提出データを盗んだという証拠はありません。このエピソードは、侵害通信がフィッシングの曖昧さを減らすべきであり、作り出すべきではないために重要です。識別情報を提出するよう求める応答チャネルは、認証が容易で、異常な負荷でテストされ、主要な質問に答えることができるスタッフによってサポートされなければなりません。「この人は影響を受けましたか?」

公共部門の継続性は Equifax 自身のネットワークを超えて拡大した

侵害は Equifax の中核的な信用報告システムの文書化された全国的な停止を引き起こしませんでした。それにもかかわらず、公共部門の継続性は中心的です。なぜなら、連邦政府機関は身元確認のために Equifax を使用しており、盗まれた属性はリモート身元確認の仮定を弱める可能性があるからです。

GAO は内国歳入庁、社会保障局、米国郵便公社の3つの主要な連邦顧客を見直しました。2018年の報告書は、各機関が Equifax の管理を評価し、是正のための低レベルの技術的懸念を特定し、将来の侵害通知要件を含む契約を修正したと述べています。1つの IRS 契約は終了しました。Equifax の2017 Form 10-Kは、強化された監視、1つの政府契約の停止、顧客によるセキュリティ監査、および一部の契約やプロジェクトの延期またはキャンセルを開示しました。

継続性の問題は認識論的でもありました。機関は、人の信用履歴に関する知識を、その人が主張する人物であるという証拠として扱い続けることができるでしょうか?GAO の2019年の連邦オンライン ID 検証のレビューは、Equifax などの侵害で盗まれたデータが知識ベースの検証質問に答えるために使用される可能性があることを発見しました。NIST の2017年ガイダンスが連邦機関に対し、機密アプリケーションに知識ベースの検証を使用することを事実上禁止し、公開サービス全体の代替案を検討したことに言及しました。

それは異なる種類のサービス中断です。サーバーは利用可能なままで、認証方法が信頼性を失う可能性があります。機関はその後、契約を変更し、身元確認を再設計し、書類や対面チェックを追加し、またはより高い詐欺リスクを受け入れる必要があります。これらの変更は、代替方法が想定するデバイス、文書、接続性、または移動性を欠く人々にとって、給付やサービスへのアクセスに影響を与えます。

したがって、データ仲介者の取締役会は、継続性の義務を稼働時間を超えてマッピングする必要があります。機密性の失敗は、顧客に統合を停止させる可能性があります。整合性の疑念は、データを意思決定に不適切にする可能性があります。ID データの露呈は、下流の認証慣行を無効にする可能性があります。有用な継続性マップは、どの公共サービスが会社のデータに依存しているか、データまたは検証方法が信頼を失った場合に顧客が何をしなければならないか、およびプロバイダーが契約およびリスク決定のための迅速な証拠をどのように提供するかを示す必要があります。

中小企業の継続性は技術的問題と同じくらい容量問題である

中小企業は連邦政府機関とは異なる爆発範囲に現れます。公開記録は、Equifax 侵害が中小企業サービスの一般的な停止を引き起こしたことを示しておらず、それを示唆することは不正確です。より支持可能なリスクは、小規模な雇用主、家主、貸し手、専門会社、およびサービスプロバイダーが、大規模機関が利用できる詐欺チーム、法的能力、または代替オプションなしに、信用、スクリーニング、給与、および ID エコシステムに参加していることです。

Equifax の2017 Form 10-K は、消費者および商業情報、信用スコアリング、詐欺防止、身元確認、住宅ローン情報、雇用確認、および政府関連サービスを説明しています。また、Workforce Solutions セグメントが政府、住宅ローン、金融、採用前スクリーニング、および通信の用途にサービスを提供していると報告しています。これらのサービスは、中小企業が Equifax の直接のエンタープライズ顧客でない場合でも、中小組織が毎日行う決定の中にあります。

継続性の負担はいくつかの場所にあります。小規模な貸し手や家主は、正当な申請者と露出した ID 属性を使用する人を区別する必要があるかもしれません。小規模な雇用主は、スクリーニングまたは収入確認チェーンに依存するかもしれませんが、支配的なデータプロバイダーに詳細な管理証拠を要求する交渉力を持たないかもしれません。地方の金融機関は、大規模な侵害の後にカスタマーサポートおよび詐欺レビューの作業を負担するかもしれません。専門サービス会社は、顧客が信用を凍結し、損失を文書化し、記録を修正するのを支援する必要があるかもしれません。これらの影響のいずれも、Equifax のプラットフォームがオフラインである必要はありません。

和解の記録は、この負担が消費者レベルで持続することを反映しています。公式の Equifax 侵害和解サイトは、和解が2022年1月に発効し、初期給付は2022年後半に発行され、拡張請求給付はその後も継続したと述べています。FTC 和解ページは、継続的な支払いおよび ID 復旧の取り決めを記録しています。影響を受ける人々を支援する小規模組織は、その長い尾を、一度の劇的な停止ではなく、繰り返されるアカウント復旧、文書化、詐欺処理、および従業員支援として経験する可能性があります。

中小企業のための実用的な管理教訓は、世界的な信用調査機関のセキュリティプログラムを再現することではありません。それは、露出した静的属性への依存を減らし、代替パスを知ることです。ID チェックは、社会保障番号、生年月日、住所、または信用ファイルの質問を、それらが個人であるという理由だけで秘密として扱うべきではありません。スクリーニング、給与、信用、および ID ベンダーとの契約は、インシデント通知チャネル、サービス代替案、データ保持制限、修正手順、およびサポートコミットメントを特定する必要があります。継続性計画は、プロバイダーが利用可能であるが、その証拠を追加の注意を払って扱わなければならない場合に何が起こるかをテストする必要があります。

中小企業にサービスを提供するプロバイダーにとって、取締役会の説明責任には顧客の非対称性が含まれます。大規模顧客は監査を委託し、通知条項を交渉できます。小規模顧客はしばしば標準条件と公的保証を受け入れます。高価値データを保持するプロバイダーは、安全性を各小規模顧客がそれを調査する規模に依存させるべきではありません。独立した評価、実施可能なベースライン管理、明確なインシデント通知、およびアクセス可能な是正チャネルは、その不均衡を部分的に修正します。

経営陣の説明責任:ポリシーの所有権が実行から分割されていた

下院報告書の中心的な経営陣の発見は、セキュリティポリシーと IT 運用の間の説明責任のギャップでした。侵害以前、最高セキュリティ責任者は最高法務責任者に報告しており、最高情報責任者や CEO に直接報告していませんでした。報告構造は合法的に異なり、単一の組織図がセキュリティを保証するわけではありません。このケースでは、委員会が収集した証言は、セキュリティと IT がサイロ化しており、一貫性のないコミュニケーション、別々に維持された不完全な目録リスト、セキュリティ作業のペースに対する不満があったと説明しました。

報告書は、シニア IT およびセキュリティリーダーが2016年から月次調整会議を開催し、パッチ管理やデジタル証明書展開を含むイニシアチブを追跡していたと述べています。その証拠は、問題が完全に見えていなかったわけではないことを示すため重要です。組織にはフォーラムとイニシアチブがありました。失敗は、注意を完全でテストされた実装に変換することにありました。

2015年の監査はその結論を強化します。反応的なパッチ適用、不完全な目録、弱い検証、レガシーシステムリスクはすでに記録されていました。成熟した説明責任システムは、各発見をエグゼクティブオーナーに割り当て、測定可能な終了基準を定義し、独立した検証を要求し、期限切れの日付をリスク委員会にエスカレーションします。監査問題を閉じることは、管理が範囲内の環境全体で動作することを意味するべきであり、プロジェクトが開始されたり、目標日が記録されたりすることではありません。

Equifax の侵害後の人事措置は重要でした。CIO と最高セキュリティ責任者は2017年9月に退任しました。CEO 兼会長のリチャード・スミスはその月の後半に退任しました。ACIS を含むシステムを担当するシニアエグゼクティブは10月に解雇されました。会社は後に CEO に直接報告する CISO と同等の最高技術責任者を任命しました。これらの行動はリーダーシップと構造を変更しました。それ自体では、各人のすべての管理失敗に対する法的責任を確立しません。

同じ制限がインサイダー取引にも適用されます。取締役会の特別委員会は、不審な活動の発見から公開開示の間に取引を行った4人の上級役員をレビューし、彼らは取引時にインシデントを知らなかったと報告しました。委員会の報告書は、Equifax 取締役会特別委員会の添付資料として SEC に提出されました。別途、SEC は前事業部門 CIO の Jun Ying に対して訴訟を提起しました。SEC の2019年訴訟リリースは、同意による最終判決がインサイダー取引の主張を解決し、並行刑事事件での有罪答弁に言及しています。これらは異なる人物と異なる事実記録です。それらを組み合わせると、開示の説明責任の証拠が歪められます。

取締役会の説明責任:インシデント前、エスカレーション中、和解後

取締役会の説明責任は3つの期間に分割されるべきです。侵害前の問題は、取締役会が重要なサイバーリスクおよび未解決の管理発見について何を知っていたか、または要求すべきであったかです。エスカレーション中は、重要な事実が取締役に十分迅速に、意思決定を支援する形で届いたかどうかです。侵害後は、ガバナンスの変更が一時的な注意ではなく、永続的な証拠を生み出したかどうかです。

公開記録は、最初の期間よりも3番目の期間についてより詳細を提供しています。下院報告書は経営陣の構造を批判し、CEO は会議の頻度やセキュリティ情報を提示した人物に部分的に基づいて、サイバーセキュリティを優先順位付けしていなかったと述べています。取締役に対する受託者責任の主張を判断するものではありません。ここでレビューした情報源は、個々の取締役が意識的に脆弱な ACIS 構成を受け入れたことを確立していません。抑制された分析は、そのギャップを推測で埋めるべきではありません。

Equifax の2018年委任状は、取締役会の対応を説明しています。取締役会は特別委員会を設置し、会長と CEO の役割を分離し、テクノロジーおよび金融サービス経験を持つ取締役を追加し、テクノロジー委員会のサイバーセキュリティ責任を拡大し、CISO、CTO、内部監査からの定期的な報告を要求し、経営陣なしでの役員会を提供しました。また、取締役会とその委員会はインシデント報告後75回以上会合したと述べています。

委任状は報酬措置も開示しました。取締役会は上級リーダーシップチームの2017年年次インセンティブ支払い(約280万ドル)を廃止し、監督能力における財務的および風評的損害を含むようにクローバックポリシーを強化し、サイバーセキュリティをエグゼクティブパフォーマンス指標として追加しました。これらの行動は、サイバー成果をエグゼクティブの説明責任に結びつける努力を示しています。それらの有効性は指標の質に依存します。パッチボリュームやトレーニング完了に基づく指標は、重要な残存リスクが残っている間に満たされる可能性があります。成果指向の指標は、カバレッジ、経過時間、独立した検証、繰り返し発見、例外の露呈をテストする必要があります。

取締役会のインシデント後の会合数は注意の証拠ですが、有効性の証明ではありません。75回の会議は危機対応中に必要かもしれません。より強力なガバナンス変更は構造的でした。CISO の直接アクセス、委員会の範囲、独立した専門知識、監査との調整、定義されたエスカレーション。これらでさえ、信頼できる情報モデルを必要とします。取締役会は、目録にないアプリケーションを監視したり、カバレッジの制限が隠されているスキャンに異議を唱えたりすることはできません。

2018年6月のマルチステート同意命令は、いくつかの期待を自発的ガバナンスから執行可能な義務に移しました。Equifax は、安全でない情報セキュリティ慣行の告発を認めず、否認もせずに同意しました。命令は、書面によるリスク評価、侵害是正プロジェクトのリストと優先順位付け、より強力な監査、改善された IT 資産目録、正式なパッチ特定および管理、レガシーシステム計画、および災害復旧と事業継続への注意を取締役会のレビューと承認を要求しました。重要性は、規制当局が特定のスキャナーを規定したことではなく、管理システムへのトレーサブルな取締役会の関与を要求したことです。

和解と規制当局の発見:決定されたこととされなかったこと

2019年7月、FTC、CFPB、州司法長官、および Equifax は調整された和解を発表しました。FTC の発表は、少なくとも5億7500万ドル、最大7億ドルを説明しました。当初3億ドルが消費者基金に、必要に応じてさらに1億2500万ドル、参加州および準州に1億7500万ドル、CFPB 民事罰金1億ドル。ニューヨーク司法長官のマルチステート発表は、州の要素とセキュリティコミットメントを説明しています。Equifax 自身の和解発表は、契約と期待支払いの会社提示を反映した6億7100万ドルの解決額を使用しました。

これらの総額は互換的に扱われるべきではありません。一部は条件付き追加を含みます。一部は規制罰金とクラス救済を組み合わせています。クラス資金には独自の会計があります。監視サービスの価値は利用率に依存します。正しい慣行は、単一の普遍的な和解総額を探すのではなく、各数値に付随する範囲を述べることです。

FTC の訴状は、Equifax が合理的なセキュリティを使用しなかったことは不当な慣行を構成し、保護措置に関する表明は欺瞞的であり、同社が Gramm-Leach-Bliley 法のセーフガード規則に違反したと申し立てました。不十分なパッチ手順、不完全な目録、不適切に設定されたスキャン、不十分なセグメンテーションと侵入検知、平文の認証情報とデータ、弱いアクセス制御を申し立てました。これらは申し立てですが、議会の調査結果および Equifax の報告された是正と実質的に一致しています。

署名された FTC 合意命令およびCFPB 提出合意命令は、将来の説明責任にとってより重要です。これらは、書面による情報セキュリティプログラム、年次リスク評価、保護措置、テスト、サービスプロバイダー管理、脆弱性テスト、侵入テスト、独立した評価を要求しました。FTC 命令は、セキュリティプログラムおよび重要な更新を少なくとも年1回取締役会または関連委員会に提出することを要求しています。また、20年間、コンプライアンスおよび未開示の重要な不遵守に関する年次の取締役会または委員会の認証を要求しています。

その認証は、取締役会の証拠負担を変更します。取締役は、経営陣の主張のみに基づいて責任を持って認証することはできません。命令は独立した評価を要求し、評価者が結論を支持する証拠を特定することを指定し、調査結果は Equifax の経営陣の証明のみに依存してはならないと述べています。また、Equifax は評価者が範囲を決定できるように、ネットワークおよび IT 資産全体に関する情報を評価者に提供することを要求しています。これらの条項は、2017年に露呈したパターン(未知の資産、自己報告の完了、信頼できるカバレッジなしの否定的スキャン)に直接対処しています。

消費者訴訟は別の層を生み出しました。SEC に提出された和解契約は、ビジネス慣行のコミットメントと消費者救済を確立しました。2021年、第11巡回区連邦控訴裁判所は、回路判例に基づいてクラス代表へのインセンティブ報酬を覆しながら、和解の承認を大部分支持しました。意見は、初期の3億8050万ドルのクラス資金、可能な追加金額、信用監視および本人確認復旧の利益、5年間にわたる最低10億ドルのデータセキュリティ支出、独立した評価、地方裁判所の執行を記録しています。

クラス和解は、すべての申し立てに対する裁判所の評決を生み出しませんでした。公式の和解サイトは、Equifax が不正行為を否定し、その和解において不正行為の判断または発見が行われなかったことを明示的に述べています。それは、命令、支払い、会社の開示、議会の調査結果、SEC に提出されたコミットメントを消去しません。それらの法的姿勢を定義します。和解による説明責任は依然として説明責任ですが、裁判後の裁定された責任と同じではありません。

取締役会が重要なパッチウィンドウに要求すべきこと

Equifax の記録は、将来の取締役会のための具体的な証拠パッケージを支持しています。それは、重要な勧告が届いたときに開始し、露呈が是正されるか、制約された条件下で正式に受け入れられるまで開いたままにすべきです。

第一に、経営陣は分母を確立すべきです。報告書は、インターネットに面したサービス、影響を受けるソフトウェアコンポーネントとバージョン、所有者、データ分類、ネットワークパス、目録カバレッジへの信頼度を特定すべきです。未知の領域は、クリーンとしてカウントされるのではなく、未知として報告されるべきです。

第二に、所有権は肯定的であるべきです。指名されたテクニカルおよびビジネスオーナーがタスクを受け入れるべきです。配布リストは通知メカニズムであり、説明責任ではありません。所有者が不在、役割が変更、または指示を認識しない場合、パッチ期限が切れる前にエスカレーションが発生すべきです。

第三に、検証は変更から独立しているべきです。パッチをインストールするチームは展開証拠を提供できますが、別の管理策が脆弱性の不在を検証すべきです。埋め込まれたフレームワークの場合、認証付きスキャン、ソフトウェア構成証拠、ビルドマニフェスト、または直接検査が必要になる場合があります。スキャナーの制限は結果の横に表示されるべきです。

第四に、例外はアーキテクチャを変更すべきです。重要なシステムが必要なウィンドウ内にパッチを適用できない場合、例外はその理由、誰がリスクを受け入れたか、いつ期限切れになるか、どの代償管理が露呈を減らすかを特定すべきです。インターネットアクセスの削除、脆弱な機能の無効化、リクエストの制限、サービスの隔離、出力の強化、データベース到達範囲の制限は、テストが続く間リスクを減らす可能性があります。代償変更のない例外は、先延ばしにされた決定です。

第五に、取締役会は爆風半径を見るべきです。重要な外部到達可能アプリケーションごとに、経営陣は侵害後にどのデータベース、ファイル共有、認証情報、管理機能に到達可能かを示すべきです。最小特権とセグメンテーションは、ネットワーク図から推測されるのではなく、アプリケーション ID からテストされるべきです。

第六に、検出管理は健全性の証拠を必要とします。証明書の有効性、センサーカバレッジ、ログフロー、復号化能力、アラート遅延、保持は、それ自体が管理策として監視されるべきです。トラフィックを検査できないセキュリティアプライアンスは、可視の障害を報告し、エスカレーションを生み出すべきであり、サイレントにカバレッジとして表現され続けるべきではありません。

第七に、古い監査結果は現在のインシデントに関連付けられるべきです。重要な脆弱性が以前の監査で特定されたのと同じ状態を露呈する場合、取締役会はその関係をすぐに見るべきです。繰り返される発見は日常的なバックログではありません。それらは、以前の是正が運用環境を変更しなかった証拠です。

第八に、継続性計画には信頼の失敗を含めるべきです。計画は、データが露呈した場合、本人確認方法がもはや信頼できない場合、または中核プラットフォームがオンラインのままサービスを隔離する必要がある場合の顧客および政府の行動をカバーするべきです。消費者規模の通知、認証された応答ドメイン、通話容量、契約通知、小規模顧客のサポートは、侵害の前にテストされるべきです。

これらの要件は、取締役がパッチを管理するための議論ではありません。それらは、パッチが管理下にあると主張するシステムを取締役が統治するための議論です。取締役会の役割は、リスク許容度を設定し、信頼できる報告を要求し、共有された死角に挑戦し、経営陣の説明責任を割り当て、重要な例外が運用の複雑さの中に消えることがないようにすることです。

永続的な説明責任テスト

Equifax の侵害は、利用可能であったが適用されなかったパッチとしてしばしば記憶されます。より永続的な教訓は、すべての見かけ上の保護措置が、会社が確実に所有していなかった証拠に依存していたということです。勧告は組織に届いたが、責任あるアプリケーションチームには届かなかった。48時間ルールは存在したが、確認と終了を欠いていた。スキャンは実行されたが、コンポーネントをカバーしなかった。監視技術は存在したが、トラフィックを検査できなかった。ポータルは定義された機能を持っていたが、その機能が必要とするよりもはるかに多くのデータに到達できた。監査結果は存在したが、独立して解決されたことが示されていなかった。

侵害後の記録は説明責任を上方に移動させました。経営陣の役割が変わりました。取締役会委員会の責任が拡大しました。インセンティブの決定にサイバー結果が組み込まれました。州の規制当局は、取締役会が承認したリスクおよび是正作業を要求しました。連邦命令は、長期的なセキュリティプログラム、独立した評価、年次認証を要求しました。消費者和解は、相当な支出と裁判所によって執行可能なコミットメントを是正の周りに置きました。

これらは、大規模な侵害が取締役会の会議や認証を追加することで排除できることを証明するものではありません。それは、ガバナンスが何を観察可能にしなければならないかを示しています。取締役会は、重要な勧告をすべての影響を受ける資産、すべての説明責任のある所有者、すべての実行された変更、すべての独立した検証、すべての一時的な例外、機密データへのすべての残存経路に追跡できるべきです。その連鎖が不完全な場合、正しいステータスは緑ではありません。未解決のリスクです。

公共機関および中小企業にとって、このケースは継続性を可用性を超えて拡大します。データ仲介者は、顧客が本人確認証拠への信頼を失い、契約を停止し、詐欺管理を追加し、スタッフを是正に振り向ける間、オンラインを維持できます。最も小さい下流組織と個人消費者は、その作業を吸収する能力が最も低いことがよくあります。彼らの依存は、プロバイダーのアップタイムメトリックには表示されなくても、プロバイダーのリスクフットプリントの一部です。

したがって、Equifax 侵害は、最初の欠陥が普通で結果が異常であったため、取締役会の説明責任のベンチマークであり続けています。脆弱性は公開されていました。修正は利用可能でした。社内の期限は短かったです。失敗したのは、組織が自らの指示が重要なシステムを変更したことを証明する能力でした。