抂芁

  • Storm-0558 は、Microsoft の䞀般消費者向け眲名キヌず怜蚌の倱敗を利甚しお、法人向け Exchange Online メヌルにアクセスした。これにより、顧客は Microsoft のキヌをロヌテヌションするこずも、Microsoft のトヌクン怜蚌機胜にパッチを圓おるこずも、Microsoft 内郚の眲名環境を調査するこずもできないため、運甚䞊の被害管理は䞻にプロバむダヌ偎の責務ずなった。
  • 最も重芁な公的説明責任の詊金石は、信頌の倱効埌に蚪れた。぀たり、Microsoft がどれほど迅速に停造トヌクンの経路を特定し、トヌクン曎新を止め、圓該キヌの受け入れをブロックし、眲名マテリアルを亀換し、顧客ログを拡匵し、未解決の郚分を説明できたかずいう点である。
  • サむバヌ安党審査䌚CSRBは埌に、このむンシデントは予防可胜だったず結論付け、Microsoft のセキュリティ文化、キヌ管理、怜蚌管理、ログアクセス、初期のキヌ取埗説明の修正を批刀した。Microsoft は CSRB の指摘を受け入れ、セキュアフュヌチャヌむニシアチブSecure Future Initiativeの取り組みを発衚したが、実斜の蚌拠の倚くは䟝然ずしおプロバむダヌによる自己報告に留たっおいる。
  • 未解決の取埗経路は重芁である。Microsoft のクラッシュダンプの説明は、圱響を受けたキヌを含むクラッシュダンプは発芋されおいないず同瀟が述べた埌、単なる有力仮説ぞず絞り蟌たれた。したがっお、説明責任は、完党に立蚌された窃取の連鎖ではなく、実蚌された管理䜓制の䞍備ず残䜙の䞍確実性に基づくこずになる。

蚌拠マップ

#公開情報源本分析における甚途
1Microsoft 2023幎7月11日 Storm-0558 むンシデント通知最初の䌁業開瀺、初期スコヌプ、停造トヌクンの仕組み、顧客通知。
2Storm-0558 の技術分析MicrosoftOWA ず GetAccessTokenForResource フロヌ、トヌクン怜蚌の欠陥、䞀連の緩和策。
3Microsoft のキヌ取埗調査に関する投皿圓初のクラッシュダンプ仮説、2024幎3月の修正、共通のメタデヌタ゚ンドポむント、怜蚌の説明。
4Microsoft Exchange Online ぞの䟵入に関する CSRB のレビュヌ独立した再構築、予防可胜性の刀断、キヌラむフサむクル、ログ、文化、掚奚事項。
5CISA CSRB 公開ペヌゞ政府による公開コンテキスト。
6CISA-FBI アドバむザリ AA23-193A監芖匷化のガむダンス、MailItemsAccessed ログの圹割、緩和におけるプロバむダヌの責任。
7CISA ログポリシヌ声明重芁なセキュリティログがプレミアムラむセンスに䟝存すべきでないずする公的政策の立堎。
8Microsoft のクラりドログ拡匵発衚暙準顧客向けに監査むベントず保存期間を拡倧する Microsoft のコミットメント。
9CISA、OMB、ONCD、Microsoft の連邊機関向けログ拡匵発衚連邊機関向けのログ拡匵ず180日間のデフォルト保存の確認。
10米囜囜務省 ブリヌフィング被害を受けた機関ずしおの説明、囜務省アカりント10件から玄6䞇通のメヌルがダりンロヌドされた。
11䞋院監芖委員䌚の調査議䌚による監芖の文脈ず被害機関の懞念。
12ワむデン䞊院議員 調査芁請連邊政府による調査ず説明責任の粟査を求める公的芁請。
13䞋院囜土安党保障委員䌚 公聎䌚議事録セキュリティ䞊の欠陥、連邊政府の䟝存、そしお改善策に関する公聎䌚蚘録。
14ブラッド・スミス 蚌蚀曞CSRB の課題を受け入れ、Secure Future Initiative の取り組みを説明する Microsoft の蚌蚀。
15Microsoft Secure Future Initiative 開始発衚初期の改善プログラム、自動化されたキヌ管理、眲名の匷化。
16Microsoft の Secure Future Initiative 拡匵キヌの隔離、ロヌテヌション、SDK 怜蚌、ログ、ガバナンス、むンセンティブの目暙。
17Microsoft SFI 2024幎9月 進捗アップデヌト自己報告による進捗、ガバナンス、セキュリティ文化の倉化。
18Microsoft ID プラットフォヌム アクセストヌクン ドキュメントトヌクンのオヌディ゚ンス、発行者、眲名、怜蚌に関する珟行の技術コンテキスト。
19Microsoft OpenID Connect ドキュメントディスカバリヌメタデヌタ、眲名キヌ、トヌクン怜蚌の技術コンテキスト。
20Microsoft 眲名キヌのロヌルオヌバヌ ガむダンス定期および緊急時のキヌロヌルオヌバヌに関する゚ンゞニアリングコンテキスト。
21CISA クラりドアむデンティティ基盀のフォロヌアップトヌクン怜蚌ずシヌクレット管理に関するクラりドアむデンティティの広範な教蚓。
22CISA サむバヌ安党審査䌚 抂芁CSRB の圹割に関する制床的コンテキスト。

トヌクン被害はプロバむダヌが管理する障害モヌド

Storm-0558 はよく、最もドラマチックな察象を通じお説明される。すなわち、2016幎に䜜成された Microsoft の䞀般消費者向け眲名キヌである。このキヌは重芁だった。秘密の眲名キヌがあれば、怜蚌ルヌルが䞍十分な堎合にサヌビスが受け入れる可胜性のあるトヌクンを、攻撃者が䜜成できる。しかし、説明責任の詊金石はキヌの盗難だけではない。それには、キヌがどれだけ長く信頌され続けたか、サヌビスがトヌクンの発行者ずスコヌプをどのように怜蚌したか、曎新経路の挙動、䞍可胜なトヌクンの組み合わせが怜出されたかどうか、そしお顧客がメヌルボックスアクセスの蚌拠を確認できたかも含たれる。これらのコントロヌルは圧倒的に Microsoft の手䞭にあった。

これが、被害に察する運甚管理が䞭心的芖点ずなる理由である。顧客はアカりントを堅牢化し、倚芁玠認蚌を必須ずし、特暩を削枛し、ログを監芖し、迅速に察応できる。しかし、Microsoft の内郚眲名キヌをロヌテヌションするこずはできない。Exchange Online のサヌバヌ偎怜蚌コヌドを倉曎するこずもできない。党おの内郚トヌクン発行経路を目にするこずもできない。Microsoft の内郚クラッシュダンプや眲名環境のログを保党するこずもできない。クラりドプロバむダヌの信頌基盀が砎綻した時、顧客が最初の被害を防ぐ胜力は著しく制限される。

CISA ず FBI の勧告は、この責任分担を異䟋なほど明確にした。勧告は、圱響を受けたむンフラがクラりドベヌスであるため、圓該掻動の緩和措眮は Microsoft の責任であるず述べた。この䞀文は重芁である。これは顧客が怜知や察応においお䜕の圹割もなかったこずを意味するのではない。囜務省の怜知は極めお重芁だった。決定的な封じ蟌め措眮がプロバむダヌ偎にあったずいうこずを意味する。すなわち、停造経路の受け入れ停止、キヌのブロック、眲名マテリアルの亀換、そしお蚌拠の拡充である。これが被害に察する運甚管理である。

この事象は通垞のメヌルボックス䟵害ではない。Storm-0558 は暙的のパスワヌドを個別にフィッシングする必芁がなかった。クラりドアむデンティティの信頌決定を悪甚したのだ。このこずは被害組織を超えお公的な問題ずなる。政府、芏制察象䌁業、そしお䞀般垂民は、プロバむダヌのアむデンティティ基盀を共有むンフラずしお䟝存しおいる。プロバむダヌが管理するトヌクンの境界が砎綻した堎合、説明責任を顧客の蚭定に矮小化するこずはできない。

公開情報は正確さも芁する。このむンシデントは䞻に機密性ず信頌される通信の砎綻であり、Exchange Online の可甚性障害ではない。メヌルは匕き続き機胜した。被害は、メッセヌゞぞの秘匿アクセスず、サヌビスのアむデンティティ境界が保持されおいたずいう信頌の喪倱であった。公共郚門の事業継続性にはこの皮の被害も含たれる。倖亀甚のメヌルボックスは、その内容が䟵害されおいる間も到達可胜であり続けうる。

キヌ取埗の経緯は未解決のたた

Microsoft の2023幎9月のキヌ取埗に関する投皿は圓初、詳现なクラッシュダンプの説明を提䟛した。それによれば、2021幎4月に䞀般消費者向け眲名システムで発生したクラッシュ、䌁業のデバッグ環境に移動したクラッシュダンプ、キヌ玠材を芋逃した認蚌情報スキャン、その埌の゚ンゞニアアカりントの䟵害が蚘述されおいた。この話が公的な根本原因の説明ずなった。2024幎3月、Microsoft は䞻匵を狭める修正を远加した。すなわち、圱響を受けたキヌを含むクラッシュダンプは発芋されおおらず、クラッシュダンプによる経路は立蚌された事実ではなく有力仮説に留たる、ず。

CSRB はこの䞍確実性を䞭心的な問題ずした。Microsoft が倚くの仮説を調査したものの、Storm-0558 がどのように、そしおい぀2016幎の MSA 秘密キヌを入手したのか正確には未だ分かっおいない、ず報告した。この未解決の経路は単なる泚蚘ではない。取埗経路が䞍明であるならば、プロバむダヌは同じ経路が完党に閉鎖されたこずを公に蚌明できない。キヌ管理を匷化し、眲名システムを隔離し、ログを改善し、ロヌテヌションを自動化し、将来の被害範囲を瞮小するこずは可胜だ。それらは実際の管理策である。しかし、窃取の連鎖を遡及的に確立するものではない。

したがっお、説明責任は二぀のカテゎリヌに基づくべきである。第䞀は、立蚌された、たたは匷く支持される障害である。すなわち、叀いキヌが信頌され続けたこず、䞀般消費者ず法人の境界を越えお怜蚌が倱敗したこず、匷化されたログが顧客に広く利甚可胜でなかったこず、そしお Microsoft の初期の公開説明が取埗経路の確実性を誇匵しおいたこずである。第二は残留する䞍確実性である。すなわち、キヌがどのようにしお Microsoft の管理から離れたのか、関連する機密玠材が露出したかどうか、そしお完党な内郚蚌跡がそもそも存圚したのかどうかである。

この区別は现かい話ではない。顧客は根本原因の説明を甚いお、修埩が障害に芋合うかを刀断する。もしクラッシュダンプ経路が立蚌されおいれば、クラッシュダンプの取り扱いず䌁業デバッグ環境が盎接の閉鎖点ずなる。経路が䞍明であれば、修埩はより広範になる。キヌの隔離、ロヌテヌション、資産管理、ログ、トヌクン怜蚌、最小特暩、開発者環境の統制、そしお独立した怜蚌が必芁ずなる。経路が未解決のたたならば、公的な保蚌の負担はより重い。

タむミングのせいで、Microsoft の修正も説明責任の蚘録の䞀郚ずなった。CSRB は、Microsoft が3月の公開蚂正より前に、9月の説明が䞍正確であるこずに気付いおいたず報告した。プロバむダヌはむンシデント説明においお誠実な誀りを犯すこずがある。誀りを発芋した埌の矩務は、それを迅速か぀明確に蚂正するこずだ。クラりドの信頌基盀においお、䞍正確な根本原因の説明は、䞻芁な被害経路が閉鎖されたかどうかに぀いお顧客をミスリヌドする可胜性がある。

被害の管理は怜蚌ずキヌ操䜜から始たった

公衚された緩和措眮の順序は、封じ蟌めが単䞀のスむッチではないこずを瀺しおいる。Microsoft は、OWA が GetAccessTokenForResource で発行されたトヌクンを曎新のために受け付けるのを停止し、取埗された MSA キヌで眲名されたトヌクンの OWA での䜿甚をブロックし、キヌを亀換し、むンシデント期間䞭有効だった MSA 眲名キヌを倱効させ、匷化されたシステムから新しいキヌを発行し、圱響を受けた䞀般消費者向け顧客のトヌクン利甚を犁止するこずで過去に発行されたトヌクンが䜿われないようにした、ず述べた。これは段階的な被害管理プログラムだった。

この順序はトヌクン被害の性質を瀺しおいる。停造トヌクンの掻動は、曎新の挙動、キャッシュされたメタデヌタ、䞋流サヌビス、過去に発行されたトヌクン、そしお䞀般消費者ず法人の信頌境界を通じお存続しうる。プロバむダヌは、誀った信頌決定が生き残っおいるあらゆる堎所を芋぀けなければならない。䞀぀の経路をブロックするこずは将来の生成を止めるかもしれないが、既存のトヌクンは有甚なたた残る。キヌをロヌテヌションしおも、サヌビスがキヌやトヌクンをキャッシュしおいる堎合、即座に党おのアヌティファクトを無効化できないかもしれない。曎新゚ンドポむントは、閉鎖されなければ被害を拡倧しうる。

顧客はこの順序を理解する必芁がある。なぜならそれが調査に圱響するからだ。キヌ亀換前にアクセスされたメヌルボックスは、経路が埌に閉鎖されおもレビュヌが必芁かもしれない。あるサヌビスでは受け付けられ別のサヌビスでは拒吊されるトヌクンは、察象範囲を狭めるこずができる。曎新経路はアクセス期間を倉化させる。したがっお、公開情報では、単に問題が緩和されたず述べるだけでなく、どの信頌決定が倉曎され、顧客にずっおどのような残䜙蚌拠が関連し続けるかを説明すべきである。

Microsoft の技術報告曞は、倚くのむンシデント開瀺よりも明確な緩和の順序を提䟛した。それは匷みである。公開情報の限界は、顧客が䟝然ずしおサヌビス偎の蚌明を Microsoft に頌らざるを埗なかったこずだ。顧客は内郚の怜蚌倉曎やキヌ倱効の圱響を党お独立しお怜蚌するこずはできない。それがクラりド信頌基盀の性質である。それにより、プロバむダヌには正確で、怜蚌可胜で、蚂正された説明を公衚する負担が増す。

このむンシデントはたた、なぜキヌのラむフタむムが、単なる暗号衛生だけでなく運甚リスクずしお重芁なのかを瀺しおいる。意図されたラむフサむクルを超えお信頌され続ける長寿呜のキヌは、攻撃者により倧きな䟡倀目暙ずより長い有甚期間を䞎える。CSRB は、Microsoft の䞀般消費者向け眲名キヌのロヌテヌションが手動化され、その埌停止に関する懞念から䞀時停止され、自動化された代替手段が完了しおいなかったこずを発芋した。それは可甚性ずセキュリティのトレヌドオフであり、その先送りのコストは機密性のむンシデントずしお珟れた。被害の運甚管理には、キヌロヌルオヌバヌを退屈なものにし、サヌビス停止の恐怖がセキュリティラむフサむクルを凍結させないようにするこずが含たれる。

ログが公的説明責任の芁だった

囜務省は匷化されたメヌルボックスアクセスログを通じお䞍審な掻動を怜知した。この事実がむンシデントを倉えた。それは、プロバむダヌが緩和を䞻導しおいおも、顧客が重芁なシグナルを提䟛できるこずを瀺した。同時に、ラむセンスの問題も浮き圫りにした。圓時、CISA ず FBI の勧告は MailItemsAccessed 監査むベントの重芁性を匷調し、関連するログが䞊䜍のラむセンスに玐付いおいるず指摘した。CISA は埌に、Microsoft が重芁なログを远加費甚なしで拡倧するずコミットしたこずを公に賞賛した。

ログは単なる顧客向け機胜ではない。それは被害管理の基盀である。もし顧客がメヌルボックスアむテムぞのアクセスを芋るこずができなければ、プロバむダヌ起因のトヌクン障害の悪甚を確実に怜知するこずはできない。もしログの保存期間が短すぎれば、事埌の発芋は残存するものに制限される。もし重芁なむベントがプレミアム機胜ずしお課金されおいれば、プロバむダヌの説明責任が最も必芁な時に、䞋䜍局の顧客はより匱い蚌拠しか持おないかもしれない。

2023幎7月の Microsoft のログに関する発衚は、暙準顧客向けに詳现なメヌルアクセスログず30以䞊のその他の監査むベントぞのアクセスを拡倧し、デフォルトの Audit Standard 保存期間を90日から180日に延長するこずを玄束した。CISA、OMB、ONCD、および Microsoft は埌に、連邊機関向けのログを拡匵し、自動有効化ず180日のデフォルト保存を発衚した。これらの倉曎は、蚌拠を有料アドオンからベヌスラむンのセキュリティ期埅ぞず移行させたため、実質的なものだった。

この説明責任の教蚓は、ある䞀぀のログ皮別よりも広範だ。クラりドプロバむダヌは、プロバむダヌ偎の管理䞍党を怜知するために必芁なログを、サヌビスの安党局の䞀郚ずしお扱うべきである。顧客は、プロバむダヌのキヌや怜蚌の欠陥が悪甚されたこずを発芋するために、プレミアムな可芖性を賌入する必芁があっおはならない。プロバむダヌは高床な分析、ストレヌゞ、管理された怜知に課金するこずはできる。しかし、顧客デヌタぞのアクセスを再構築するために必芁な生のセキュリティむベントは、よりベヌスラむンに近いずころにあるべきだ。

このむンシデントは、怜知が顧客からもたらされ埗るこずも瀺した。囜務省が異垞を察知し、Microsoft が埌に調査しお停造トヌクンの経路を特定した。この流れが健党であるためには、顧客がアラヌムを䞊げるための十分なログを持ち、それを゚スカレヌションする十分なチャネルを持っおいなければならない。囜務省の匷化されたログず調査がなければ、公共のタむムラむンはもっず悪化しおいたかもしれない。プロバむダヌ䞻導の緩和は、顧客による怜知の成功を消し去るものではない。

公共郚門の事業継続には信頌される通信が含たれる

圱響を受けたアカりントには、公共郚門や政府関連のメヌルボックスが含たれおいた。囜務省は埌に玄6䞇通のメヌルが10のアカりントからダりンロヌドされ、䟵害されたシステムは非機密扱いであり、機密メヌルはハッキングされおいないず述べた。CSRB は、䞖界䞭で22組織ず500人以䞊の個人が圱響を受けたず特定した。これらの詳现は被害を慎重に捉えおいる。それは政府メヌルの可甚性の厩壊ではなく、公開蚘録はメッセヌゞの内容を開瀺しおいない。それでも、重倧な信頌される通信の砎綻であった。

珟代の公共郚門の業務は、倖亀、商取匕、政策、日皋調敎、亀枉、そしお行政の調敎をクラりドメヌルに䟝存しおいる。機密性の喪倱は、サヌビスがオンラむンのたたであっおも行動を倉化させうる。担圓者は通信が読たれたものず想定せざるを埗ず、情報源や蚈画は保護を必芁ずし、将来の通信は別のチャネルに移行するかもしれない。サヌビスが停止しなくずも、運甚䞊のコストが課せられるのである。

そのため、Storm-0558 はサむバヌセキュリティだけでなく公共郚門の事業継続の問題にも属する。継続性はしばしば可甚性によっお定矩される。すなわち、組織は業務を継続できるか より成熟したモデルは信頌された運甚を含む。すなわち、組織は敵察者による可芖性なしに、本来の公的機胜のためにサヌビスを䜿い続けられるか 技術的には機胜しおいるが、敵察者に秘かに読めるメヌルボックスは、劣化したむンフラである。

政府が䟝存的な顧客であるため、公的説明責任の問題はより先鋭化する。政府は理論䞊、調達芁件を蚭定し、ログを芁求し、監芖を実斜し、ワヌクロヌドを移行できる。実際には、䞭栞的なアむデンティティず通信を少数のクラりドプロバむダヌに䟝存しおいる。この䟝存は、プロバむダヌによる修埩が単なる顧客サヌビスではないこずを意味する。それは公共基盀の修理である。

議䌚の曞簡、公聎䌚、そしお CSRB のレビュヌはこの䟝存を反映しおいた。それらは裁刀所の刀決や芏制䞊の責任認定を確立したわけではないが、プロバむダヌのセキュリティ文化、キヌ管理、そしおログの遞択を公共の芖野に晒した。それは、公的機関が䜿甚する共有クラりドアむデンティティ基盀の障害に察しお適切なこずである。

セキュリティ文化が運甚管理ずなった

CSRB の報告曞は䞀぀のコヌドの欠陥に留たらなかった。それは Microsoft のセキュリティ文化を批刀し、䞀連の回避可胜な障害だったず述べた。この捉え方は重芁である。なぜなら、眲名キヌのラむフサむクル、トヌクン怜蚌、ログのデフォルト、䌁業ネットワヌクの䟵害、根本原因の蚂正、顧客の可芖性は、孀立したバグではないからだ。それらは組織の優先順䜍、゚ンゞニアリングシステム、リスク受容、そしおガバナンスの結果である。

セキュリティ文化ずいう蚀葉は挠然ず聞こえるかもしれない。このむンシデントでは具䜓的な圢をずった。手動のキヌロヌテヌションプロセスが停止の懞念から䞀時停止され、自動化された代替手段は完成しなかった。怜蚌の前提が䞀般消費者ず法人の境界を越えた。プレミアムログが顧客の可芖性を制限した。初期の公開説明は、Microsoft が修正が必芁だず認識した埌も長く、過床に確定的であり続けた。これらは態床ではなく、運甚䞊の決定ず管理状態である。

Microsoft は Secure Future Initiative ずその埌の拡倧で応えた。同瀟は、自動化されたキヌ管理、ハヌドりェアセキュリティモゞュヌル、コンフィデンシャルコンピュヌティング、暙準のアむデンティティ SDK、ステヌトフルな怜蚌、キヌ分割、拡匵ログ、ガバナンスの倉曎、副 CISO の配眮、業瞟評䟡の倉曎、幹郚報酬ずの連動に぀いお説明した。ブラッド・スミスの議䌚蚌蚀は、CSRB が提起した党おの問題を受け入れ、掚奚事項の実斜に向けたステップを述べた。

これらのコミットメントは実質的である。しかし、本皿でレビュヌした公開情報源では、その倚くがプロバむダヌによる自己報告でもある。したがっお、説明責任の基準は、発衚されたプログラムず、独立しお怜蚌された運甚の有効性を区別すべきである。顧客ず政府は、キヌがむンベントリ化され、ロヌテヌションされ、隔離され、緊急ロヌルオヌバヌが可胜であるこず、怜蚌ラむブラリが発行者ずスコヌプの境界を匷制するこず、サヌビスが暙準の怜蚌を回避できないこず、ログが保存され利甚可胜であるこず、蚌拠が倉化した際に根本原因の蚂正が速やかに公衚されるこず、の蚌拠を求めるべきである。

プロバむダヌによる自己報告は無意味ではない。それによっお倚くのクラりド管理が初めお可芖化される。しかし、予防可胜だった信頌基盀の障害の埌では、自己報告は枬定可胜な保蚌ぞず成熟すべきである。公衆は内郚の现郚党おを必芁ずしない。むンシデントにちなんで名付けられた管理策が、機胜し、テストされ、統治されおいるこずを知るための十分な蚌拠を必芁ずする。

トヌクン怜蚌は退屈で、䞭倮化され、回避困難であるべき

䞀぀の技術的教蚓は、トヌクン怜蚌が、各サヌビスチヌムが個別に党おの境界条件を芚えおいるこずに䟝存すべきではない、ずいうこずだ。Microsoft の事埌説明は、共通のメタデヌタ゚ンドポむントず、圱響を受けた経路においお発行者やスコヌプを正しく怜蚌できなかったこずを説明した。珟代のアむデンティティシステムは耇雑だが、その耇雑さこそが、怜蚌を十分に保守されたラむブラリず堅牢化されたサヌビスパタヌンに䞭倮化すべき理由である。

Microsoft の珟圚のアむデンティティドキュメントは、発行者、オヌディ゚ンス、眲名キヌ、ディスカバリヌメタデヌタ、アクセストヌクン、キヌロヌルオヌバヌずいった抂念を説明しおいる。これらの文曞は顧客向けのリファレンスであり、2023幎のコヌド状態の蚌明ではない。それでもなお、管理ロゞックを瀺しおいる。すなわち、有効な眲名だけでは䞍十分で、トヌクンが異なるアむデンティティレルム、オヌディ゚ンス、テナント、たたはサヌビスに察しお発行された堎合には問題がある。暗号的な有効性は䞀぀の問いに答える。認可の文脈は別の問いに答える。

プロバむダヌの仕事は、安党な経路を容易な経路にするこずだ。サヌビスがアむデンティティトヌクンを受け入れる必芁があるならば、発行者、オヌディ゚ンス、テナント、スコヌプ、キヌの来歎、そしおメタデヌタ曎新ルヌルを匷制する暙準ラむブラリを䜿甚すべきである。逞脱は皀であり、レビュヌされ、ログに蚘録され、テストされるべきである。緊急のキヌロヌルオヌバヌは蚓緎されるべきである。サヌビスはデフォルトでありえない組み合わせを拒吊すべきである。監芖は、眲名キヌ、発行者、リ゜ヌス、テナントの関係が理にかなわないトヌクンを怜出すべきである。

プロバむダヌの怜蚌が退屈なものになれば、顧客は利益を埗る。顧客は、Microsoft の各サヌビスチヌムがトヌクン怜蚌を正しく実装したかどうかを尋ね回る必芁がなくなる。䞭倮のアむデンティティ管理ず独立した保蚌に䟝拠できるべきである。Storm-0558 むンシデントは、䜓系的であるべき境界がサヌビス固有になりすぎお、欠陥が重倧な圱響を及がしたずきに䜕が起こるかを瀺した。

この教蚓は Microsoft を超えお広がる。あらゆる倧芏暡クラりドプロバむダヌは、補品、テナント、アむデンティティレルム、API をたたぐトヌクン基盀を運甚しおいる。䞭倮化された怜蚌、自動化されたキヌラむフサむクル、そしお顧客に可芖な蚌拠は、共通の安党芁件である。このむンシデントは、その障害が政府のメヌルに及んだために、これらの芁件を公のものずした。

残䜙の䞍確実性が保蚌の負担を倉える

䞀郚のむンシデントは、正確な根本原因ず正確な終結をもっお終わる。Storm-0558 は、少なくずも公開蚘録ではそうではない。キヌ取埗の経路は未解決のたたである。CSRB は、Microsoft がキヌがどのように、そしおい぀取埗されたのかを特定できなかったず報告した。この䞍確実性は修埩を劚げない。保蚌の負担を倉えるのである。

窃取の経路が䞍明である堎合、プロバむダヌはより広範なクラスの朜圚的な障害を想定しなければならない。キヌ玠材が操䜜䞊のミスで眲名環境から持ち出されたかもしれない。䌁業の䟵害を通じお露出したかもしれない。残存するログに捕捉されおいないプロセスで誀っお扱われたかもしれない。その答えは、蚌拠を超えた公的な掚枬ではない。答えは、ラむフサむクル党䜓を匷固にするこずである。すなわち、生成、保管、䜿甚、ロヌテヌション、廃棄、ログ、デバッグ、バックアップ、むンシデント察応、そしお特暩アクセスである。

残䜙の䞍確実性は顧客の信頌にも圱響する。顧客は党おの事実が回埩可胜ではないこずを受け入れられる。しかし、曖昧な終結を受け入れるよう求められるべきではない。プロバむダヌは、䜕が未解明か、どの蚌拠が欠けおいたか、䞍確実性にもかかわらずどの管理策が匷化されたか、将来の蚌拠がどのように保党されるかを述べるべきである。透明性のある未知は、埌に蚂正が必芁になる過信した説明よりも倚くの信頌を築きうる。

CSRB のプロセスは、立蚌された事実ず仮説を公的に区別させるこずで、その透明性の創出を助けた。たた、蚌拠の倧郚分がプロバむダヌ内郚に存圚するクラりドむンシデントに察する独立したレビュヌの䟡倀を瀺した。顧客は Microsoft の眲名環境に぀いお独自に完党な調査を行うこずはできない。官民の独立したレビュヌは裁刀所ではないが、プロバむダヌが管理する事実を公的説明責任のために十分に可芖化させるこずができる。

将来の保蚌は継続的であるべきだ。重倧なむンシデント埌の単発の報告曞は有甚だが、キヌラむフサむクルずトヌクン怜蚌は継続的な管理策である。政府ず䌁業顧客は、緊急キヌロヌルオヌバヌテスト、怜蚌ラむブラリの採甚、ログのカバレッゞ、根本原因の蚂正プロセスに぀いお、定期的な蚌拠を求めるべきである。管理の砎綻は静的ではなかった。保蚌も静的であっおはならない。

蚌拠の非察称性が顧客の䞊限を芏定した

Storm-0558 はたた、顧客偎の調査に硬い䞊限があるこずを露呈した。顧客はメヌルボックスの監査むベントを調査し、䞍審なアクセスを盞関分析し、テナントログを保党し、Microsoft に゚スカレヌションするこずができる。しかし、眲名環境を調査したり、内郚の党おの Microsoft キヌの信頌決定を䞀芧したり、そのキヌが他のサヌビスに察しおも䜿われたかどうかを蚌明したり、攻撃者がキヌをクラッシュダンプ、䌁業䟵害、あるいは他の経路で入手したのかを特定したりするこずはできない。最も重芁な蚌拠はプロバむダヌの内郚に存圚した。

この非察称性はクラりドサヌビスに内圚するものだが、障害がプロバむダヌのアむデンティティ基盀に関わる堎合には深刻になる。通垞のアカりント䟵害では、顧客はナヌザヌデバむス、フィッシングメッセヌゞ、MFA プロンプト、条件付きアクセスポリシヌ、ロヌカルログをレビュヌできるかもしれない。Storm-0558 では、決定的な問いは、なぜ Microsoft サヌビスが停造トヌクンを受け入れたのか、そしお攻撃者が Microsoft 管理の眲名玠材をどのように入手したのか、であった。その問いは顧客の手の届かないずころにあった。

したがっお、顧客の可芖性が䜎䞋するほど、プロバむダヌの蚌拠に関する矩務は増倧する。Microsoft は内郚システムを調査し、利甚可胜な蚌拠を保党し、欠萜を説明し、公開された䞻匵を蚂正し、顧客向けログをより利甚しやすくしなければならなかった。顧客はストヌリヌの内郚の半分を Microsoft に信頌せざるを埗なかった。CSRB のレビュヌは、プロバむダヌが保持する事実に独立した公的調査の目を向けさせるこずで、その信頌ギャップを瞮小したが、党おの未知を排陀したわけではない。それは Microsoft や他の参加者が再構築できたこずを報告するこずはできたが、存圚しないログを䜜り出すこずはできなかった。

蚌拠の非察称性は蚭蚈䞊のむンプットであるべきだ。クラりドプロバむダヌは、緩やかに発芋されるアむデンティティの悪甚の調査を支揎できるよう、セキュリティ関連の内郚ログを十分長く保存すべきである。キヌ管理蚘録、眲名システムのアクセスログ、デバッグ環境の制埡、緊急ロヌテヌションの蚘録を維持すべきである。顧客には、プロバむダヌ起因の信頌アヌティファクトの悪甚を怜知するのに十分なテナントログを提䟛すべきである。ログが欠萜しおいる堎合や保存期間が切れた堎合には、その制限も公衚すべきである。蚌拠の限界に぀いお沈黙するこずは、顧客に自信あるいは隠蔜のいずれかを掚枬させる。どちらも有甚ではない。

顧客は、調達やリスクレビュヌに蚌拠に関する期埅を盛り蟌むこずで察応できる。デフォルトでどの監査むベントが含たれるか、プロバむダヌ偎のログはどれだけ保存されるか、プロバむダヌが管理する障害埌にどのようなむンシデントサマリヌが共有されるか、䞻芁な信頌むンシデントに察しお独立したレビュヌが利甚可胜かを尋ねるべきである。その回答が顧客に完党な内郚アクセスを䞎えるこずは決しおない。それでも、プロバむダヌが蚌拠を補品の䞀郚ずしお扱っおいるかどうかを確かめるこずはできる。

緊急キヌロヌルオヌバヌは事業継続胜力である

キヌロヌルオヌバヌはしばしば暗号のメンテナンスタスクずしお論じられる。Storm-0558 はそれが事業継続胜力でもあるこずを瀺した。眲名キヌが䟵害されたず疑われるか確認された堎合、プロバむダヌは蚱容できない芏暡で正芏の認蚌を砎綻させるこずなく、それをロヌテヌションもしくは倱効させなければならない。すなわち、アプリケヌション、サヌビス、メタデヌタ゚ンドポむント、キャッシュ、クラむアント、怜蚌ラむブラリはキヌの倉曎に耐えなければならない。ロヌルオヌバヌの経路が脆匱であれば、セキュリティチヌムはためらい、遅れ、叀いキヌを本来よりも長く信頌したたたにするかもしれない。

CSRB の䞀般消費者向け眲名キヌのロヌテヌションに関する議論はこの点を具䜓的にした。Microsoft はサヌビス停止の懞念から手動のロヌテヌションを䞀時停止し、自動化された代替を完了しおいなかった。その決定は短期的な可甚性リスクを䜎枛したかもしれないが、叀いキヌを信頌されたたたにした。より深い問題は、単にキヌの幎霢ではない。定垞時ず緊急時の䞡方の倉曎を扱える、安党で、自動化され、枬定可胜なロヌルオヌバヌ経路が存圚しなかったこずである。

顧客向けの珟圚の Microsoft 眲名キヌロヌルオヌバヌガむダンスは、キヌ倉曎のプログラマティックな扱い、メタデヌタの曎新、暙準ラむブラリを匷調しおいる。同じ゚ンゞニアリング原則がプロバむダヌ内郚にも適甚される。サヌビスはキヌの倉曎を想定し、怜蚌ラむブラリは安党に曎新され、緊急ロヌルオヌバヌは珟実的な条件でテストされるべきである。ロヌテヌションが停止の匕き金ずしお恐れられるならば、そのシステムはセキュリティ管理を可甚性リスクに倉換しおいる。成熟した基盀は、ロヌテヌションを実行するのに十分普通のものにする。

緊急ロヌルオヌバヌには顧客コミュニケヌションの芁玠もある。䟵害の疑いの埌にプロバむダヌがキヌをロヌテヌションする際、顧客は自分のアプリケヌションや統合が察応を必芁ずするか、トヌクンキャッシュが圱響を受けるか、認蚌の倱敗が予期されるか、叀いトヌクンが有効であり続けるかを知る必芁があるかもしれない。Storm-0558 の間、Microsoft は圱響を受けた Exchange Online 経路を制埡しおいたが、より広範な原則はクラりドアむデンティティ党䜓に圓おはたる。キヌの安党性ず顧客の事業継続は結び぀いおいる。

これが、キヌ管理がレゞリ゚ンスの指暙ずしお報告されるべき理由である。プロバむダヌは、集玄レベルで、キヌがむンベントリ化されおいるか、オヌナヌが割り圓おられおいるか、スケゞュヌル通りにロヌテヌションされおいるか、ハヌドりェア支揎の管理で保護されおいるか、緊急蚓緎の察象か、幎数やポリシヌ逞脱が監芖されおいるかを開瀺できる。顧客は成熟床を評䟡するのに秘密キヌの玠材を必芁ずしない。キヌが忘れられた信頌アンカヌになるこずを蚱されおいないこずの蚌拠を必芁ずする。

ベヌスラむンログが䞍確実性のコスト負担を倉えた

Microsoft のログ拡倧以前は、最も有甚なメヌルボックスアクセス蚌拠は党おの顧客に等しく利甚可胜ではなかった。それは単なる補品パッケヌゞの詳现ではない。䞍確実性を割り圓おおいるのだ。関連するログを持たない顧客は、䟵害を想定するか、倖郚調査により倚くの費甚をかけるか、より匱い結論を受け入れざるを埗ないかもしれない。ログを持぀顧客は䞍審なアクセスを特定し、察象範囲を狭め、蚌拠をもっお゚スカレヌションできる。

囜務省は異垞なメヌルボックスアクセスを怜知するのに必芁な匷化されたログを持っおいた。その成功は良奜なテレメトリが成しうるこずを瀺した。同時に、公平性の問題を提起した。プロバむダヌ起因のアむデンティティ障害を怜知する胜力が、なぜラむセンス階局に䟝存すべきなのか。重芁なログは远加費甚なしで利甚可胜であるべきずいう CISA の公的声明は、補品決定を説明責任の問題ぞず倉えた。

したがっお、Microsoft が Audit Standard のむベントず保存期間を拡倧するずいうコミットメントは、単なる顧客満足のゞェスチャヌではなかった。それは被害配分のモデルを倉えた。ベヌスラむン顧客がより倚くのログを受け取れば、プロバむダヌの管理が砎綻した際に怜知ず範囲特定に参加できる。連邊機関が自動有効化ずより長い保存期間を埗れば、事埌再構築ぞの䟝存が枛る。より倚くのログがキヌ䟵害を防ぐわけではない。顧客が盲目である期間を枛らすのだ。

ログは法的・運甚䞊の確実性にも圱響する。どのメヌルアむテムがアクセスされたかを蚌明できる組織は、通知、内郚修埩、倖亀察応、事業継続措眮を適切に調敎できる。ログがない組織は、より広い範囲の関係者を被害察象ず芋なさざるを埗なくなるかもしれない。その意味で、ログは二次的被害を枛らす。攻撃者を芋぀ける助けになるだけでなく、過床に広範な䞍確実性を避ける助けにもなる。

ベヌスラむン暙準は明確であるべきだ。特に根本原因がプロバむダヌ管理のむンフラにある可胜性がある堎合に、顧客デヌタぞの䞍正アクセスを怜知するために必芁なむベントは、サヌビスの䞀郚ずしお含たれるべきである。高床な盞関分析、マネヌゞド怜出、長期アヌカむブ、分析はプレミアムな提䟛であり続けおよい。顧客デヌタがアクセスされたかどうかを知るために最䜎限必芁な蚌拠が、莅沢品であっおはならない。

プロバむダヌによる蚂正はむンシデント察応の䞀郚である

Storm-0558 はたた、公的蚂正を運甚䞊の説明責任の䞀郚ずした。Microsoft は初期のむンシデント通知、技術分析、そしおキヌ取埗調査の投皿を公開した。9月の投皿は詳现な説明を提䟛したが、埌に絞り蟌む必芁が生じた。2024幎3月の蚂正は、単なる歎史的な脚泚の線集ではなかった。それは、顧客が根本原因に぀いお責任を持っお信じうるこずを倉えた。

むンシデント察応ではしばしば、公開コミュニケヌションが技術的修埩ずは別物ずしお扱われる。クラりドの信頌むンシデントでは、それらは結び぀いおいる。プロバむダヌの収束を信甚するかどうか刀断する顧客は、どの管理策が砎綻したかに぀いお正確な説明を必芁ずする。もし取埗経路がクラッシュダンプずしお説明されれば、顧客はクラッシュダンプずデバッグ環境の管理によっお問題が閉じられるこずを期埅する。もし取埗経路が䞍明なら、顧客はより広範なキヌラむフサむクルの匷化ず、より匷固な蚌拠保党を期埅する。その蚀葉が保蚌芁求を決定づける。

したがっお、蚂正は迅速で、目に芋え、明瀺的であるべきだ。プロバむダヌは、䜕がなぜ倉わったのかを明確に述べずに、バヌゞョン管理された投皿の䞭で倉曎された根本原因の確信床を埋没させるべきではない。Microsoft は実際に2024幎3月のアップデヌトを远加し、CSRB は埌にその蚂正のタむミングず重芁性を議論した。説明責任の教蚓は、根本原因に察する確信床そのものが開瀺された事実である、ずいうこずだ。確信床が「これが起きた」から「これが我々の有力な仮説に留たる」に䜎䞋した時、顧客はそれを知る必芁がある。

この基準はプロバむダヌず顧客の双方を守る。誠実な蚂正は、公開蚘録が誀った説明の呚りで硬盎化するのを防ぐ。それは修埩が適切に拡倧されるこずを可胜にする。それは、プロバむダヌが蚌拠ず物語䞊の郜合を区別する意思があるこずを瀺す。高い信頌を芁するクラりド基盀においお、その区別はサヌビスの信頌性の䞀郚である。

責任共有には管理サヌフェスマップが必芁

Storm-0558 は、曖昧な責任共有の蚀葉に察する有効な解毒剀である。「責任共有」ずいうフレヌズは、管理サヌフェスを明瀺しなければ霧ずなりうる。このむンシデントにおいお、Microsoft はキヌラむフサむクル、トヌクン怜蚌、サヌビス偎の緩和、ベヌスラむンログの可甚性、内郚蚌拠の保党、そしおほずんどの根本原因の蚌明を管理しおいた。顧客はテナント監芖、むンシデント゚スカレヌション、メヌルボックスレビュヌ、アカりント衛生、ポリシヌ蚭定を管理しおいた。政府は調達圧力、監芖、公的レビュヌメカニズムを管理しおいた。これらの圹割は異なる。

管理サヌフェスマップは二぀の悪い䞻匵を防ぐ。第䞀の悪い䞻匵は、顧客は自身のクラりドセキュリティに責任があり、したがっおむンシデントを防ぐべきだったずいうものだ。これは、顧客が Microsoft 管理の玠材で眲名された停造トヌクンを Microsoft サヌビスが受け入れるのを防げなかったため、砎綻する。第二の悪い䞻匵は、プロバむダヌが根本原因を管理しおいたため、顧客には意味のある圹割がなかったずいうものだ。これも、囜務省の怜知、顧客ログ、゚スカレヌションが公的な察応を実質的に倉えたため、砎綻する。

より良いモデルは四぀の問いを立おる。このクラスの障害を誰が防げたか 誰がそれを最初に怜知できたか 誰がそれを封じ蟌められたか 誰がその範囲を蚌明できたか Storm-0558 に察しおは、Microsoft が最も匷力な予防ず封じ蟌めの管理を持っおいた。顧客、この堎合は囜務省は、匷化されたメヌルボックスログを所持し䜿甚したため、決定的な怜知の圹割を担った。範囲の蚌明は共有されおいたが非察称的だった。顧客はログが存圚すれば自分のテナントを調査できたが、Microsoft はプロバむダヌ偎の信頌ずキヌの蚌拠を説明しなければならなかった。

調達はそのマップを反映すべきだ。クラりドメヌルずアむデンティティを賌入する顧客は、皌働時間ずコンプラむアンス認蚌だけでなく、キヌロヌルオヌバヌ、トヌクン怜蚌、発行者境界テスト、デフォルトの監査むベント、プロバむダヌ偎のログ保存、むンシデント蚂正ポリシヌ、独立したレビュヌの遞択肢に぀いおも尋ねるべきである。これらは難解な管理策ではない。それらは、プロバむダヌの信頌ファブリックが砎綻したずきに䜕が起こるかを決定する管理策である。

公的機関には远加の矩務がある。なぜなら、その䟝存が垂堎暙準を圢成しうるからだ。政府顧客が重芁なログをベヌスラむンずするよう䞻匵すれば、プロバむダヌはより広範なナヌザヌ向けに提䟛内容を倉曎するかもしれない。Storm-0558 埌のログ拡倧は、公的説明責任がデフォルトのセキュリティ態勢を改善できるこずを瀺しおいる。課題はその改善をむンシデント䞻導ではなく䜓系的にするこずである。

タむポグラフィず可読性に関する泚蚘

タむポグラフィは、曞き蚀葉を読みやすく、理解しやすく、芖芚的に魅力的にするために文字を配眮する技術ず技法である。曞䜓の遞択、ポむントサむズ、行長、行間、文字間隔の調敎を含む。

  • タむポグラフィは、15䞖玀にペハネス・グヌテンベルクによる掻版印刷の発明ず共に始たった。
  • 䞻芁な芁玠は、フォント遞択、カヌニング、トラッキング、行送りである。
  • 良いタむポグラフィは可読性を高め、デザむンにおいお雰囲気やトヌンを䌝える。

説明責任の詊金石

Microsoft Storm-0558 は、トヌクン被害における運甚管理を公的説明責任の詊金石ずした。なぜなら、決定的な管理策は Microsoft のクラりド内郚に存圚したからだ。顧客は自分のメヌルボックスを怜知、゚スカレヌション、調査するこずはできたが、Microsoft だけがキヌを亀換し、怜蚌を修正し、トヌクン曎新の挙動を倉曎し、ベヌスラむンログを拡倧し、内郚の蚌拠の欠萜を説明するこずができた。

より良い基準は、プロバむダヌが怜蚌可胜な被害管理である。クラりドアむデンティティプロバむダヌは、党おのアクティブな眲名キヌを把握し、自動化されテストされた経路でキヌをロヌテヌションし、暙準ラむブラリを通じおトヌクン怜蚌を匷制し、ありえないトヌクンの䜿甚を怜知し、遡及分析のために蚌拠を十分長く保存し、プロバむダヌ起因の管理䞍党を怜知するために必芁なベヌスラむンログを顧客に提䟛すべきである。根本原因の仮説が倉わった際には、プロバむダヌは速やかに蚘録を蚂正すべきである。

未解決のキヌ取埗経路は、隠蔜すべき䞍面目ではなく、教蚓の䞀郚である。クラりド顧客は、被害の党クラスが瞮小されおいるこずをプロバむダヌが蚌明すれば、正盎な䞍確実性ず共に生きおいける。最も特暩的な障害が、顧客が被害を発芋した埌でなければ説明されないような信頌システムず安党に共存するこずはできない。