要約
- Equinix の2020年9月のランサムウェア開示は、同社がランサムウェアは一部の内部システムに影響を与えたが、データセンター、マネージドサービス、顧客運用、顧客機器は稼働を続けたと述べたため、コロケーション継続性の説明責任テストとなった。
- 企業システムのセグメンテーション、IBX サービスの継続性、顧客影響の証拠、身代金の開示、インシデントコミュニケーション、およびコロケーション運用が侵害環境から分離されていたことの証明について、実際に誰が実務的な管理をしていたのか?
- 説明責任の問題は、データセンター事業者が侵害された企業システムと顧客継続性面との分離を証明しなければならないことである。なぜなら、顧客はインシデント中にその境界を独自に検査できないからである。
- コロケーション顧客、相互接続ユーザー、クラウド隣接ワークロード、企業、投資家、運用リスクチームは、ランサムウェアイベントが施設継続性の失敗にならなかったという証拠を必要としていた。
- 本記事は、Equinix 自身のセキュリティインシデント声明をhttps://blog.equinix.com/blog/2020/09/09/equinix-statement-on-security-incident/を主要な企業開示として、Equinix の2020年 Form 10-K をhttps://www.sec.gov/Archives/edgar/data/1101239/000162828021002563/eqix-20201231.htmを IBX プラットフォームに関する企業コンテキストとして、そして DCD、BleepingComputer、CRN、SecurityWeek、The Register、FBI、DOJ、CISA、NIST、SEC の資料を、記録にないプライベートフォレンジック成果物の証拠ではなく、公開報告または管理コンテキストとして扱う。
なぜこのケースがリスクと説明責任のファイルに属するのか
Equinix は、インシデントがランサムウェアイベント後にしばしば混同される2つの声明を分離したため、リスクと説明責任のファイルに属します。1つ目の声明は、事業者が内部システムでランサムウェアを検出したというものでした。2つ目は、データセンターとサービス提供が完全に稼働を続けているというものでした。小売企業にとって、その区別はバックオフィスシステムと店頭システムの違いを表すかもしれません。グローバルなコロケーション事業者にとって、その区別はより重いものです。それは、会社が施設を運営、サポート、通信、監視、請求、調整するために使用するシステムが、顧客が電力、スペース、冷却、物理アクセス、相互接続、マネージドインフラ、運用サポートのために依存する面から意味のある形で分離されているかどうかを問うものです。
主要な開示は異例なほど直接的でした。2020年9月のセキュリティインシデント声明において、https://blog.equinix.com/blog/2020/09/09/equinix-statement-on-security-incident/、Equinix は一部の内部システムでランサムウェアを調査中であり、措置を講じ、法執行機関に通知し、データセンターとサービス提供は引き続き稼働していると考えていると述べました。声明はまた、ほとんどの顧客が Equinix データセンター内で独自の機器を運用しており、インシデントはそれらの顧客の運用や機器上のデータに影響を与えていないと述べました。データセンター Dynamics は同じ継続性の主張をhttps://www.datacenterdynamics.com/en/news/equinixs-internal-systems-hit-ransomware-data-centers-remain-fully-operational/で報じ、内部システムと施設の分離を中心にイベントを枠組みしました。The Register は同じ分離問題をhttps://www.theregister.com/on-prem/2020/09/10/equinix-warns-its-infected-with-ransomware-promises-it-can-carry-on-regardless/1055338で明確にし、顧客機器の分離を中心的な保証主張として扱いました。
だからこそ、これは単なるマルウェアの話ではありません。これはコロケーション依存の話です。顧客は単に床面積を購入するわけではありません。彼らは継続性の主張を購入します。つまり、事業者が物理的およびネットワーク隣接環境を安定に保ち、各顧客が独自のスタックを実行できるようにすることです。Equinix の2020年 Form 10-K(https://www.sec.gov/Archives/edgar/data/1101239/000162828021002563/eqix-20201231.htm)は、220以上のベンダーニュートラルなコロケーションデータセンターからなる IBX プラットフォームと、顧客がネットワーク、クラウド、SaaS プロバイダー、パートナー、そして互いに接続することによって生み出されるネットワーク効果を説明しています。このプラットフォームのコンテキストは重要です。相互接続プラットフォームが大きければ大きいほど、ランサムウェアの開示は、企業の侵害が共有の継続性面に波及するのを防げるかどうかのテストとなります。
公開記録には、Equinix 自身の声明以外の主張も含まれていました。BleepingComputer はhttps://www.bleepingcomputer.com/news/security/equinix-data-center-giant-hit-by-netwalker-ransomware-45m-ransom/で、ランサムウェアは NetWalker であり、要求額は450万ドルであると報じました。CRN はhttps://www.crn.com/news/security/equinix-ransomware-attack-hits-company-s-internal-systemsで NetWalker の枠組みを繰り返しましたが、Equinix はこれらの詳細を CRN に確認しなかったと述べています。SecurityWeek はhttps://www.securityweek.com/data-center-provider-equinix-hit-ransomware/でインシデントを報じ、Equinix の確認された開示とランサムウェアファミリーに関する報道を区別しました。証拠の境界は重要です。本記事は、すべての第三者詳細を企業の認諾として扱いません。継続性の主張に関する主要な証拠として企業声明を扱い、報告記録を、詳細が不完全な中で顧客、投資家、セキュリティチームがイベントを解釈しなければならなかった証拠として扱います。
説明責任の問いは実務的です。企業システムのセグメンテーション、IBX サービスの継続性、顧客影響の証拠、身代金の開示、インシデントコミュニケーション、およびコロケーション運用が侵害環境から分離されていたことの証明について、実際に誰が実務的な管理をしていたのか?その問いは、顧客が独自の機器を所有していると言うだけでは答えられません。顧客所有の機器は1つのカテゴリーのエクスポージャーを減らしますが、事業者の施設継続性、アクセスワークフロー、リモートハンズ、インシデントコミュニケーション、サービスポータル、相互接続プロビジョニング、サポートエスカレーション、マネージドサービス、プラットフォームエビデンスに対する管理を排除するわけではありません。
コロケーションは企業のセグメンテーションを顧客の継続性に変える
中心的な教訓は、コロケーションビジネスにおけるセグメンテーションは内部のセキュリティ設計だけではないということです。それは顧客継続性の約束です。ランサムウェアが企業の業務システムに限定されている場合でも、事業者はその限定が現実であることを証明しなければなりません。施設運用、サービス提供、顧客サポートが継続する場合でも、事業者はそれが境界が機能したから継続しているのであって、まだ失敗が見えていないだけではないことを示さなければなりません。信頼に依存するインフラビジネスでは、「影響なし」と「まだ目に見える影響がない」の違いは証拠の問題です。
Equinix のプラットフォームは、その証拠問題をより重要にします。2020年の年次報告書は、コロケーション、相互接続、マネージドインフラサービスをグローバルデジタルインフラプラットフォームの一部として説明していました。現在の Equinix の信頼とセキュリティページ(https://www.equinix.com/about/trust-security)は、セキュリティ保証を顧客向けの信頼機能として提示しています。それは2020年のインシデント中に何が起こったかを証明するものではありません。それは、顧客が同社にセキュリティ管理、施設管理、顧客データ境界に関する成熟した証拠ファイルを合理的に期待する理由を示しています。プロバイダーがデジタルエコシステムのインフラ層として自らを売り込む場合、ランサムウェア対応は単なる企業 IT の問題であってはなりません。
分離の主張にはいくつかの層があります。1つ目は、内部企業システムと運用技術または施設システムとの論理的なセグメンテーションです。2つ目は、ビジネス認証情報と特権的な施設またはサービス管理認証情報との管理上のセグメンテーションです。3つ目は、オフィス環境、サービスポータル、マネージドサービスネットワーク、顧客コロケーションネットワーク間のネットワークセグメンテーションです。4つ目は、内部インシデント対応と顧客サポート運用とのプロセスセグメンテーションです。5つ目は証拠のセグメンテーションです。ログ、インベントリ、ステータス記録は、どの資産が影響を受け、どの資産が影響を受けなかったかを示す必要があります。
顧客はインシデント中にその完全な境界を検査することはできません。クラウド顧客やコロケーション顧客は、自社のサービスを監視し、到達可能性をテストし、アカウントチームに最新情報を求めることはできます。それだけで、Equinix の内部資産インベントリ、ドメイン管理、バックアップ状態、施設管理ツール、またはセキュリティ運用ログを検査することはできません。この非対称性が説明責任の負担を生み出します。管理権を持つプロバイダーは、顧客が継続性、リスク受容、コンティンジェンシープランニング、および自らの開示義務について決定を下せるよう、十分な公的および私的な保証を提供しなければなりません。
データセンター Dynamics は後に、Equinix のセキュリティリーダーシップへのインタビュー(https://www.datacenterdynamics.com/en/analysis/michael-montoya-equinixs-ciso-a-year-on-from-its-2020-ransomware-incident/)を公開し、その中でインシデントが IBX 施設への横方向移動が可能かどうかのテストとして議論されました。この記事は完全なフォレンジックレポートではなく、本分析もそのように扱いません。それは、インシデントを隔離と対応への事前投資を中心に枠組みする点で価値があります。説明責任のある証拠の問題は変わりません。施設境界が維持されたことを示す成果物は何か、どのシステムが検査されたか、顧客に何が伝えられたか、結論はどのように検証されたか?
継続性保証はその証拠連鎖と同じ強さしかない
企業声明は顧客が最も必要とする一文を与えました:運用は影響を受けなかった。しかし、成熟した説明責任には一文以上のものが必要です。継続性保証には、機密のシステム詳細を公開せずに顧客に説明できる証拠の連鎖が必要です。データセンター事業者にとって、その連鎖は資産範囲から始めるべきです。どの内部システムが影響を受けたか?どの ID ドメイン、ファイルサーバー、コラボレーションツール、サービスデスク、課金システム、リモート管理ツール、管理ポータルが対象範囲内か?どの運用、施設、顧客向けシステムが対象範囲外か?各境界をどの証拠が裏付けたか?
2番目のリンクはサービスステータスの証拠です。プロバイダーは、電力、冷却、物理アクセス、顧客ケージ、マネージドサービス、相互接続サービス、サポートチケット、リモートハンズ、サービスポータルが正常範囲内で継続したかどうかを示せるべきです。「影響なし」は単に確認された苦情がないという意味であってはなりません。それは、プロバイダーがテレメトリ、運用ログ、チケットボリューム、インシデントブリッジ、施設記録、顧客エスカレーションを期待されるサービス継続性と比較したことを意味するべきです。継続性の主張は測定可能であるべきです。
3番目のリンクはデータ境界の証拠です。Equinix の声明は顧客運用機器と Equinix システム内のデータを区別しました。その区別は有用ですが、疑問を残します。内部業務システム内の顧客情報はリスクにさらされましたか?サポート記録、連絡先詳細、契約、サービスチケット、ケージアクセスリスト、ポータルデータ、技術図面、マネージドサービス情報はレビューされましたか?顧客の機器が影響を受けていなくても、自社の記録が影響を受けたシステム内にあった場合、顧客は個別に通知されましたか?公開報道はそのすべての答えを提供しているわけではありません。だからこそ証拠の境界が重要なのです。
4番目のリンクはコミュニケーションの証拠です。公開ブログ投稿はタイムリーであり、少なくともその後2日間更新されました。MSSP Alert は声明をhttps://www.msspalert.com/news/ransomware-attacks-equinix-data-centers-and-managed-services-not-impactedで報じ、開示されなかったことを強調しました:正確なランサムウェアの種類とどの内部システムが攻撃されたか。説明責任の問題は、すべての技術的詳細が即座に公開されなければならないということではありません。それは、インシデントコミュニケーションが確認された事実、調査の限界、顧客影響の証拠、法執行機関の制約、および次の最新情報の期待値を分離すべきであるということです。顧客は、プロバイダーに攻撃者へのプレイブックを公開させることなく、行動するのに十分な確実性を必要とします。
5番目のリンクは復旧の証拠です。ランサムウェアの復旧は公開声明が投稿された時点で完了するわけではありません。封じ込め、根絶、復元、認証情報のローテーション、バックアップの検証、フォレンジックレビュー、法的レビュー、顧客スコーピング、教訓の抽出が必要です。CISA の#StopRansomware ガイド(https://www.cisa.gov/stopransomware/ransomware-guide)は、ランサムウェアを予防と対応の両方の作業として扱い、バックアップ、復元、アイデンティティ、インシデント管理の実践を含むため、有用なコンテキストです。NIST のコンピュータセキュリティインシデント処理ガイド(https://csrc.nist.gov/pubs/sp/800/61/r2/final)は、準備、検出、分析、封じ込め、根絶、復旧のための中立的な語彙を提供します。これらの情報源は Equinix の内部行動を証明するものではありません。それらは、信頼できる証拠連鎖が通常カバーすべきものを定義します。
データセンター投資はインシデント証明の基準を引き上げる
データセンター投資は、しばしば容量、電力、リース、買収、相互接続需要を通じて議論されます。Equinix の提出書類と投資家向け資料は、なぜ同社がその投資の会話の中心にあるかを示しています。しかし、セキュリティインシデントはインフラ投資の別の側面を明らかにします。プラットフォームの価値は、顧客がプロバイダーの内部企業問題が自分たちの運用上の緊急事態にならないと信じることに依存します。顧客が物理ホスティング、相互接続、マネージドインフラを1つのプロバイダーに統合すればするほど、プロバイダー自身の侵害が限定された爆発半径を持つことを証明することが重要になります。
これは企業だけの問題ではありません。多くの中小企業は、マネージドサービスパートナー、SaaS プラットフォーム、接続プロバイダー、リセラーを通じて、より大規模なプロバイダーに直接または間接的に依存しています。中小企業は、グローバルデータセンター事業者からのランサムウェアの主張を解釈できる独自のセキュリティチームを持っていないかもしれません。彼らは、自らが Equinix の施設や相互接続に依存しているサービスプロバイダーに依存しているかもしれません。コロケーション事業者が施設は影響を受けていないと言うとき、その保証はサプライチェーンを通じて伝わります。エンドカスタマーは、自分が使用するサービスがどの施設や相互接続ファブリックに依存しているかさえ知らないかもしれません。
だからこそ、「顧客が機器を所有している」という議論は必要だが不十分なのです。顧客が Equinix のケージ内で自社のサーバーを所有している場合、そのサーバー上のデータは Equinix 内部システムのランサムウェアに触れられていないかもしれません。しかし、顧客の継続性は依然としてプロバイダーのアクセス制御、チケッティング、電力、冷却、リモートハンズ、クロスコネクトプロビジョニング、インシデント通知、物理セキュリティ、サポートプロセスに依存しています。企業システムでのランサムウェアインシデントは、サポートに干渉したり、顧客連絡先やインフラメタデータを暴露したりする場合に依然として重要であり得ます。説明責任ファイルは、顧客機器が分離されている場合でも残る依存面をカバーしなければなりません。
2020年のコンテキストも重要です。ランサムウェア事業者は、暗号化とデータ窃取および恐喝を組み合わせることが増えていました。FBI の NetWalker フラッシュ(https://www.ic3.gov/CSA/2020/200929-2.pdf)は、政府、教育、民間、医療組織に対する NetWalker の活動を説明しました。司法省は後に NetWalker の破壊活動(https://www.justice.gov/archives/opa/pr/department-justice-launches-global-action-against-netwalker-ransomware)を発表し、より広範な犯罪エコシステムを説明しました。これらの情報源は Equinix のフォレンジック所見ではありません。それらは、2020年のランサムウェア開示が、データ窃取、恐喝、支払要求、開示範囲に関する即時の疑問をなぜ生じさせたかを説明します。
BleepingComputer のレポート(https://www.bleepingcomputer.com/news/security/equinix-data-center-giant-hit-by-netwalker-ransomware-45m-ransom/)は、これらの疑問を具体的にし、主張された身代金要求と主張されたデータ窃取圧力を報じました。Equinix はこれらの詳細を声明に含めませんでした。したがって、責任ある分析は両方の事実を同時に保持しなければなりません。公開報道は顧客にとってリスクの高い解釈環境を作り出しましたが、確認された企業声明は内部システム、法執行機関への通知、継続的な運用、進行中の調査に限定されていました。説明責任は、未確認の主張を誇張することによって果たされるのではありません。それは、決定を下さなければならなかった人々のために疑問を解決する証拠は何かと問うことによって果たされます。
開示のタイミングは継続性管理の一部である
Equinix のブログでの開示は短かったが、そのタイミングは重要でした。データセンター事業者でのランサムウェアインシデントは、正式な調査が終了するよりも早く噂市場を作り出す可能性があります。顧客は、正式な回答を受け取る前に、ニュース記事、脅威行為者の主張、サービスの異常、サポートの遅延、または内部幹部の懸念を目にするかもしれません。プロバイダーの開示の課題は、2つの失敗を同時に避けることです。必要な情報を必要とする顧客から隠してはなりません。また、後に崩壊する推測を公開してもなりません。
SEC の2023年サイバーセキュリティ開示ルールページ(https://www.sec.gov/rules-regulations/2023/07/s7-09-22)とプレスリリース(https://www.sec.gov/intelligence team/press-releases/2023-139)は Equinix インシデントよりも後であり、Equinix が2020年9月に何をすべきかの法的ベンチマークではありません。それらは、公開企業の開示方針の方向性を示す点で有用です。サイバーセキュリティインシデント、リスク管理プロセス、管理職の役割、取締役会の監視は、重要である場合に投資家にとって関連性があります。公共インフラ企業にとって、基礎となる説明責任の問題はルール以前から存在していました。投資家と顧客は、インシデントが運用、重要なリスク、または将来のコストに影響を与えたかどうかを知る必要がありました。
最も強力な開示は、4つの区別を明確にします。第一に、何が確認されたか?第二に、何がまだ調査中か?第三に、顧客が今取るべき行動は何か?第四に、どのような将来の最新情報または個別通知プロセスが続くか?Equinix の声明は、運用と顧客機器は影響を受けなかったと述べ、顧客に緊急行動を指示しなかったことにより、第一と第三の質問の一部に答えました。第二と第四の質問は部分的に開いたままにしましたが、これは初期のインシデント声明では一般的です。説明責任のテストは、個別の顧客コミュニケーションとその後のスコーピングがそれらのギャップを埋めたかどうかです。
開示はまたサポート負荷の問題でもあります。ランサムウェアインシデント中、すべての顧客アカウントチームが同じ質問に直面する可能性があります。プロバイダーが一貫した証拠を準備していなければ、顧客は一貫性のない回答を受け取ります。コロケーションビジネスでは、その不一致は、顧客が独自に移行を開始したり、変更を凍結したり、アクセス要求を中断したり、自らの規制当局にエスカレーションしたりする可能性があるため、継続性リスクを生み出す可能性があります。成熟したインシデントコミュニケーションプロセスは、アカウントチームに検証済みのスクリプト、エスカレーションパス、および顧客機器、マネージドサービス、内部業務データ、運用施設を区別する証拠パッケージを提供します。
The Register の記事(https://www.theregister.com/on-prem/2020/09/10/equinix-warns-its-infected-with-ransomware-promises-it-can-carry-on-regardless/1055338)は、なぜその主張が外部の観察者に妥当に聞こえたかを捉えています。異なる顧客の機器を分離することはコロケーションモデルに内在しています。しかし、妥当であることと証明されていることは同じではありません。深刻なインシデントでは、プロバイダーはアーキテクチャがこの特定のケースで機能したことを示せなければなりません。それには、非公開の顧客ブリーフィング、独立した保証、インシデント対応レポート、または契約固有の通知が含まれる可能性があります。
運用の分離はアイデンティティの侵害に耐えなければならない
ランサムウェアインシデントはしばしばアイデンティティインシデントとして始まります。攻撃者は認証情報を入手し、権限を昇格させ、横方向に移動し、防御を無効化し、データをステージングし、システムを暗号化します。公開情報源が最初の侵入経路を特定していない場合でも、説明責任分析は、アイデンティティ管理がプロバイダーの依存役割にとって十分に強力だったかどうかを問うべきです。データセンター事業者は、企業業務システムと運用継続性の両方について、1つの内部ディレクトリ、1つのリモートアクセスパス、または1つの管理認証情報プレーンに依存すべきではありません。
NIST SP 800-53 Rev. 5(https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)は、アクセス制御、識別と認証、構成管理、監査、コンティンジェンシープランニング、インシデント対応、システム整合性、サプライチェーンリスクを中心に管理策を整理するため、ここで有用な語彙を提供します。NIST サイバーセキュリティフレームワーク(https://www.nist.gov/cyberframework)は、特定、保護、検出、対応、復旧のためのより広範な構造を提供します。これらの資料は Equinix が内部で何をしたかを述べていません。それらは、顧客が施設が他社の継続性を支えるプロバイダーから合理的に期待する証拠を定義するのに役立ちます。
アイデンティティの分離は、リモートハンズとマネージドサービスにとって重要です。プロバイダーのスタッフがインシデント中に顧客機器やマネージドインフラをサポートする必要がある場合、プロバイダーはサポートアカウント、ジャンプホスト、アクセス承認、チケッティングワークフロー、施設アクセスシステムが侵害された環境によって制御されていないことを確認しなければなりません。さもなければ、対応は二次的なリスクを生み出します。会社は、どの内部アイデンティティが信頼できるか確信が持てないまま、顧客へのサポートを続けようとします。
同じことはバックアップと復元にも当てはまります。内部システムでのランサムウェアインシデントは、バックアップが侵害されたアイデンティティプレーンから分離されているかどうかをテストします。また、復元されたシステムが運用ワークフローに再接続する前に信頼できるかどうかもテストします。CISA のランサムウェアガイド(https://www.cisa.gov/stopransomware/ransomware-guide)は、バックアップと復元の実践を強調しています。ランサムウェアの復旧は、バックアップが不完全であったり、同じ侵害された環境に接続されていたり、テストされていなかったりすると失敗するからです。データセンター環境では、バックアップ保証は企業ファイルだけの問題ではありません。それは、事業者が通信、認証、請求、派遣、サポートを可能にする業務システムに関するものです。
説明責任のある強力な姿勢は区画化されています。企業コラボレーションシステムは、施設運用を停止させることなく失敗することができます。施設監視は、侵害された企業ディレクトリに依存せずに継続できます。サービスポータルは、顧客の証拠を失うことなく、隔離するか、管理されたメンテナンスモードにすることができます。サポートチームは、強化された継続性チャネルから運用できます。顧客通知は、検証済みの連絡先経路を通じて配布できます。各層は、インシデント中に設計通りに動作したことを示すログを持つべきです。
公開記録は境界の主張を示すが、完全なフォレンジックレポートではない
一般に公開されている最も強力な証拠は境界の主張です。Equinix は、インシデントは一部の内部システムに関係し、法執行機関に通知され、データセンターとサービス提供は完全に稼働を続け、顧客の運用と顧客機器上のデータは影響を受けなかったと述べました。DCD、SecurityWeek、The Register、CRN、MSSP Alert はその主張を報じました。BleepingComputer と CRN は、主張された NetWalker の属性と身代金要求について議論し、CRN は Equinix がこれらの詳細についてコメントを拒否したと述べました。2021年の DCD インタビューは後に、イベントを隔離投資とランサムウェア対応に関連付けました。
その記録はリスク説明責任分析を支えるには十分ですが、完全なインシデントを再構築するには不十分です。一般公開は、完全な資産リスト、マルウェアのタイムライン、影響を受けたシステムのインベントリ、アイデンティティ侵害の範囲、データ流出の確定、顧客通知の母集団、法執行機関のクロノロジー、支払い決定の記録、バックアップ復旧の証拠、または独立したフォレンジックレポートを持っていません。したがって、本記事は、公開記録が裏付けない限り、内部の顧客情報が触れられなかったと主張しません。入手可能な企業声明は顧客運用または顧客機器への影響を否定し、その後、プロバイダーがその主張の背後にどのような証明を保持すべきかを問います。
その区別は衒学的ではありません。それは説明責任の両側を保護します。顧客は短い公開声明を完全な技術レポートとして扱うべきではありません。プロバイダーは、調査が進行中である間に機密の防御詳細を公開することを強いられるべきではありません。責任ある中間点は構造化された保証です。プロバイダーは、境界を定義し、顧客に行動の指針を与え、必要に応じて個別通知を約束し、後に監査人、大規模顧客、または規制当局に深い証拠を提供するために十分な情報を開示できます。
依存関係が強ければ強いほど、証拠の義務も強くなります。依存度の低いベンダーは基本的な通知と是正措置を提供できます。クラウド隣接ワークロードと相互接続エコシステムをホストするサイトを持つグローバルコロケーションプロバイダーは、より深いレビューを期待されるべきです。顧客は、インシデントレポート、管理の証明、更新されたセキュリティ質問票、事業継続の証拠、将来の通知に関するコミットメントを求めるかもしれません。これらの要求は官僚的なものではありません。それらは、顧客がプロバイダーの継続性の主張を自らのリスク判断に変える方法です。
顧客ガバナンスは次のインシデントの前に証明を求める必要がある
Equinix のケースは、顧客側の弱点も示しています。多くの顧客はデータセンター事業者を安定したインフラとして扱い、初期調達時に重点的にレビューし、更新時には軽くレビューします。ランサムウェアの開示はそのリズムを変えるべきです。関連するガバナンスの問いは、事業者が引き続き評判の良い事業者であるかどうかではありません。それは、顧客が自らの継続性計画のどの部分が事業者の内部インシデント管理に依存しているかを理解するのに十分な証拠を持っているかどうかです。
大企業にとって、その証拠要求は構造化されるべきです。顧客は、事業者が企業 IT、施設運用、マネージドサービス管理、顧客ポータル、サポートワークフロー、相互接続プロビジョニングをどのように分離しているかを尋ねるべきです。それらの機能のための特権アイデンティティが分離され監視されているかどうかを尋ねるべきです。顧客影響の判断がどのように行われ、誰が顧客通知を承認し、インシデントの初日にどのような情報が利用可能で、復旧後にどのような保証資料が提供されるかを尋ねるべきです。要求は機密図面を公開で求めるものではなく、境界の主張が単なる広報の一文ではないことを検証する信頼できる方法を求めるべきです。
中小企業にとって、同じ規律はより困難ですが、それでも可能です。中小企業はグローバルプロバイダーに対して直接的なレバレッジを持っていないかもしれませんが、マネージドサービスプロバイダー、クラウドブローカー、ホスティングリセラー、またはネットワークプロバイダーに、どのような上流依存関係が存在するかを尋ねることができます。自らのワークロードが Equinix 施設に依存している場合、誰がインシデント通知を受け取り、その通知がどのように中継され、どのような継続性の代替手段が存在し、上流プロバイダーの企業システムが損なわれた場合にサポートが継続できるかどうかを知るべきです。中小企業の継続性問題はしばしば間接的です。運用上の痛みを経験する企業は、元のプロバイダー通知を受け取る企業ではないかもしれません。
顧客はまた、サービス継続性とデータ機密性を分離すべきです。プロバイダーは、電力とネットワークサービスを稼働させ続けながら、企業システムに顧客連絡先や構成データが含まれていたかどうかを調査できます。したがって、顧客のリスクチームは2つの質問のトラックを尋ねるべきです。運用トラックは、ワークロード、アクセス、相互接続、サポート、プロビジョニングが継続したかどうかを尋ねます。機密性トラックは、顧客メタデータ、契約、アクセスリスト、チケット、図面、マネージドサービス記録が影響を受けたシステム内にあったかどうかを尋ねます。2つを組み合わせることで、プロバイダーは「運用は影響なし」と答えながらデータの問題を未解決のままにすることができます。それらを分離することで、よりクリーンな説明責任ファイルが生成されます。
保険、監査、調達チームはこれを生きた証拠として扱うべきです。サイバー保険会社は、重要なベンダーがランサムウェアの復旧とセグメンテーションをテストしているかどうかを尋ねるかもしれません。監査人は、第三者リスク評価がインシデント履歴のレビューを含むかどうかを尋ねるかもしれません。調達チームは、監査権条項、通知タイムライン、インシデント後の保証を求めるかもしれません。事業継続チームは、どのサイト、クロスコネクト、キャリア、クラウドオンランプ、サポート連絡先がプロバイダーに依存しているかをマッピングするかもしれません。有用な問いは「プロバイダーはランサムウェアインシデントを経験したか?」ではありません。多くの深刻な組織は経験するでしょう。有用な問いは「インシデントは、顧客の継続性境界を維持するプロバイダーの能力について何を証明したか?」です。
プロバイダーは、境界が維持された場合、その種のレビューを歓迎すべきです。適切にガバナンスされた事業者は、インシデントを回復力の証拠に変えることができます。企業システムは封じ込められ、施設運用は安定を維持し、顧客機器は隔離され、サポートチャネルは継続し、顧客記録はスコープされ、法執行機関は通知され、復旧成果物は保持され、管理の改善が行われました。そのストーリーは、成果物、タイムライン、メトリクス、独立した保証を含む場合により強力です。ブランドの信頼だけに依存する場合、より弱くなります。
正確であることには商業的な理由もあります。データセンター投資は、エコシステム密度、クラウド隣接性、AI インフラ、規制対象ワークロード、相互接続に関する約束にますます依存しています。これらの約束は集中を生み出します。多くの顧客が同じプロバイダーの周りに集まるとき、プロバイダーのインシデント管理は市場の共有された回復力の一部になります。目に見える停止を引き起こさないランサムウェアイベントでも、プロバイダーがその役割に必要な証拠規律を持っているかどうかを明らかにすることができます。顧客ガバナンスは、次のイベントがより大きな圧力の下で同じ質問を強いる前に、その教訓を捉えるべきです。
同じ証拠規律は地域運用にも及ぶべきです。1つの施設に機器を持つ顧客は、依然として企業サポートチーム、集中チケッティング、共有ベンダーアクセス、共通 ID 管理、クロスリージョンネットワークプロビジョニングに依存しているかもしれません。それらの共有層が損なわれると、ローカルのデータホールは電源が入ったままでも、顧客の変更要求、アクセス確認、緊急作業の調整能力は低下する可能性があります。したがって、成熟した継続性ファイルは、施設状態の証拠とサービス管理の証拠を分離します。ラック、電力、冷却、相互接続が安定していただけでなく、それらの周りの運用プロセスが信頼できる通信と説明責任のある決定記録を維持していたことを示します。
耐久性のある修復が証明すべきこと
コロケーション事業者でのランサムウェアインシデント後の耐久性のある修復は、6つのことを証明すべきです。第一に、範囲を証明すべきです。プロバイダーは、どのシステムが影響を受け、どのシステムが検査され、どのシステムが侵害環境の外にあったかを把握すべきです。範囲は、ログ、エンドポイント証拠、アイデンティティ記録、ネットワークテレメトリ、フォレンジック分析に基づくべきであり、ビジネスユニットの所有権に関する仮定に基づくべきではありません。
第二に、運用継続性を証明すべきです。プロバイダーは、施設運用、サービス提供、マネージドサービス、顧客サポート、相互接続サービスが継続したこと、または一部が低下した場合、その低下がどのように測定され伝達されたかを示す記録を保持すべきです。「完全に運用中」は運用メトリクスにトレース可能であるべきです。それはすべてのメトリクスを公開することを要求するものではありません。それはそれらを保存することを要求します。
第三に、顧客データの境界を証明すべきです。コロケーションでは、顧客機器はプロバイダーの企業侵害の外にあるかもしれません。しかし、プロバイダーのシステム内の顧客メタデータは依然として重要かもしれません。契約、連絡先リスト、アクセスログ、サービスチケット、クロスコネクト詳細、ネットワーク図面、請求記録、マネージドサービス記録はすべて、暴露された場合にリスクを生み出す可能性があります。修復には、顧客データのスコーピング分析と通知決定記録を含めるべきです。
第四に、アイデンティティのリセットと特権の封じ込めを証明すべきです。影響を受けた環境に接続されたすべての特権アカウント、リモートアクセスパス、管理グループ、サービスアカウント、サポート認証情報をレビューすべきです。運用システムが別個のアイデンティティプレーンを使用している場合、修復はその分離が維持されたことを証明すべきです。アイデンティティブリッジが存在した場合、修復はそれがどのように閉鎖または監視されたかを説明すべきです。
第五に、バックアップと復元の整合性を証明すべきです。ランサムウェア後の内部システムの復元は、バックアップがクリーンでない場合、または復元されたシステムが侵害が理解される前に再接続される場合、リスクがあります。プロバイダーは、復元ポイント、マルウェアチェック、認証情報のローテーション、システム強化、検証の証拠を保存すべきです。目標は単にシステムを再開することではなく、攻撃者がもはや実務的な管理を持っていないという防御可能な主張とともに再開することです。
第六に、ガバナンスを証明すべきです。上級経営陣、セキュリティリーダー、法務チーム、運用管理者、顧客チーム、取締役会はそれぞれ異なる管理ポジションを持っています。公開された Equinix の声明は、法執行機関が通知されたと述べました。完全な説明責任ファイルは、誰が公開開示を決定し、誰が顧客メッセージを承認し、誰がフォレンジックスコーピングを担当し、誰が継続性証拠をレビューし、誰が重要度を評価し、誰が是正措置を検証したかも示すべきです。
反事実はランサムウェアがないことではなく、検査可能な封じ込めである
真剣なインフラ顧客は、大規模プロバイダーが決してランサムウェアに直面しないと期待すべきではありません。より良い反事実は、プロバイダーの封じ込めが検査可能であることです。つまり、プロバイダーは、圧力下で、企業システムの侵害が自動的に施設運用、顧客機器、マネージドサービス管理プレーン、またはサービス継続性プロセスへのアクセスを許可しないことを示せなければなりません。また、プロバイダーは、攻撃者、噂、第三者レポートが物語を定義するのを待つことなく、顧客への影響を説明できなければなりません。
Equinix の声明は、核心的な封じ込めの結果を主張しました。説明責任のレンズは、封じ込めの証拠が依存役割にとって十分に強力だったかどうかを問います。成熟したプロバイダーは、インシデントの前にまさにこの質問に備えていたでしょう。重要なビジネスサービス、依存連鎖、アイデンティティ境界、顧客データストア、バックアップ階層、法執行機関の連絡経路、メディア声明、顧客アカウントチームのスクリプト、規制当局のエスカレーションしきい値をマッピングしていたでしょう。技術的な復旧だけでなく、顧客への証明の生成もリハーサルしていたでしょう。
反事実には、顧客側の準備も含まれます。コロケーション顧客は、すべての継続性思考を施設プロバイダーにアウトソーシングすべきではありません。どのワークロードが施設に依存しているか、どの代替アクセス経路が存在するか、どのサポートチケットが重要か、どのクロスコネクトが単一障害点か、プロバイダーのサポートシステムが低下した場合にどのように対応するかを知るべきです。しかし、顧客がそれをうまく行えるのは、プロバイダーがインシデント中に明確でタイムリーかつ技術的に限定された情報を提供する場合のみです。
中小企業にとって、これは特に困難です。小規模顧客はパートナーを通じて購入する可能性があり、詳細な証拠を要求するレバレッジを欠いているかもしれません。だからこそ、公開開示の質が重要です。簡潔で正確で更新された公開声明は、噂によるエスカレーションを減らすことができます。その後の顧客保証パッケージは、調達と更新の決定をサポートできます。標準化されたセキュリティ質問票とトラストポータルは役立ちますが、実際のインシデント後に更新され、一般的なままである場合に限ります。
説明責任は共有継続性面の管理に従う
最終的な割り当ては、実務的な管理に従うべきです。Equinix は、自社の内部システム、施設運用、サービスサポートワークフロー、顧客コミュニケーション、インシデント対応プロセス、証拠作成を管理していました。顧客は、コロケーション環境内の自社の機器とアプリケーションを管理していました。法執行機関は犯罪捜査を管理していました。第三者記者は、主張されたランサムウェアファミリーと身代金要求に関する公開報道を管理していました。投資家と調達チームは自らのリスク判断を管理していましたが、最も侵害環境に近い当事者によって提供された証拠に依存していました。
その割り当ては、Equinix がインシデントの可能なすべての下流解釈に責任があるという意味ではありません。それは、証拠の負担が境界を検査できる事業者に最も重かったことを意味します。境界が維持された場合、事業者はそれを証明できるべきです。内部システム内の一部の顧客記録がリスクにさらされた場合、事業者はスコープを設定し通知できるべきです。顧客の行動が必要ない場合、事業者はその理由を説明できるべきです。プライベートな詳細が公開できなくても、事業者は顧客保証のための信頼できる構造を提供すべきです。
Equinix の2020年のランサムウェアインシデントは、大規模なコロケーション停止として記憶されなかったため、依然として重要です。それがまさに有用な理由です。それは、最良のケースの説明責任問題を示しています。プロバイダーがインシデントが共有継続性面に達しなかったと言うとき、顧客は依然として境界の証明を必要とします。目に見える停止がないことは、完全な説明責任と同じではありません。耐久性のある教訓は、データセンターの信頼は、企業の侵害、顧客機器、施設運用、マネージドサービス、コミュニケーションチャネルが設計上も事実上も分離されているという証拠に依存するということです。
グローバルデジタルインフラにとって、ランサムウェアの開示はしたがって継続性の規律です。事業者は、ランサムウェアが制限されたと言うことによってではなく、制限がどのように検出、測定、維持、伝達、修復されたかを示すことができることによって信頼を得ます。

