要約

  • 2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。
  • ゼロデイ通知、顧客パッチの順序付け、管理型転送の露見発見、下流被害者への連絡、悪用の証拠、ファイル転送の信頼境界が修復されたことの証明について、実際に誰が実務的な管理権限を持っていたのか?
  • 説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないことである。
  • 従業員、年金受給者、公共機関、ベンダー、学生、患者、顧客、保険会社、ソフトウェア購入者は、通知連鎖が窃取連鎖よりも遅くなかったという証拠を必要としていた。
  • 本記事は、主張、企業の主張、規制当局の記録、技術的所見、裁判所の姿勢、および残された不確実性を分離して提示し、説明責任が物語の力ではなく証拠に基づくようにしている。

ファイル転送ソフトウェアは他者の通知義務を担っていた

ファイル転送ソフトウェアが他者の通知義務を担っていたことから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、Progress、2023-05-31以降、ベンダー勧告(https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。本記事は、Progress の勧告と多くの下流被害者通知を区別する。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば Progress のドキュメント、修正済み課題(https://docs.progress.com/bundle/moveit-transfer-release-notes-2023/page/Fixed-Issues-in-2023.html)や CISA/FBI、2023-06-07および更新版の勧告(https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

パッチリリースは最初の時計に過ぎなかった

パッチリリースが最初の時計に過ぎなかったことから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、Progress、2023-07-05、顧客 FAQ PDF(https://www.progress.com/docs/default-source/moveit-docs/moveit-transfer_moveit-cloud-vulnerabilities-customer-faq_posted.pdf?sfvrsn=16a47a99_13)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。脆弱性勧告は特定の顧客がデータを失ったことの証明ではなく、顧客の侵害通知はそれ自体がベンダーの根本原因の証明ではない。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば Progress Software、2023-07-07、Form 10-Q(https://investors.progress.com/static-files/f7098b70-af8e-4c41-9b35-307e950f87bb)や UK NCSC、2023、MOVEit ガイダンス(https://www.ncsc.gov.uk/information/moveit-vulnerability)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

ホスティング型と自己管理型の顧客は異なる証拠負担を経験した

ホスティング型と自己管理型の顧客が異なる証拠負担を経験したことから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、Progress、2023-06-05、対応更新(https://www.progress.com/amp/update-steps-we-are-taking-protect-moveit-customers/dWU5d09jQTFGZndVVnJod2xERzk5TENYb204PQ2)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。中心的な害はタイミングであり、盗難、パッチ、ファイルレビュー、法務レビュー、公的通知は異なる時計で動く。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば Progress Software、2024-01-26、Form 10-K(https://www.sec.gov/Archives/edgar/data/876167/000087616724000031/prgs-20231130.htm)や UK FCA、2023-06-19、規制対象企業声明(https://www.fca.org.uk/news/statements/moveit-vulnerability)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

被害者リストは連鎖であり、スプレッドシートではなかった

被害者リストが連鎖であり、スプレッドシートではなかったことから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、Progress、2023-06-13、透明性更新(https://www.progress.com/amp/working-enhance-security-moveit-transfer-products-through-partnership-transparency/dWU5d09jQTFGZndVVnJod2xERzk5TENYb204PQ2)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。管理型転送製品は、危機時に使用可能な露出インベントリを必要とする。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば Progress Software、2024-08-07、企業発表(https://investors.progress.com/news-releases/news-release-details/progress-announces-conclusion-sec-investigation-moveit)や Mandiant、2023-06-02および更新版、インシデント分析(https://cloud.google.com/blog/topics/threat-intelligence/zero-day-moveit-data-theft/)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

運用者はどのファイルが露出したかを知る必要があった

運用者がどのファイルが露出したかを知る必要があったことから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、Progress ドキュメント、2023リリースノート(https://docs.progress.com/bundle/moveit-transfer-release-notes-2023/page/Whats-New-in-Moveit-Transfer-2023.html)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。本記事は、Progress の勧告と多くの下流被害者通知を区別する。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば NIST NVD、脆弱性記録(https://nvd.nist.gov/vuln/detail/cve-2023-34362)や Rapid7、2023-06-14および更新版、タイムライン(https://www.rapid7.com/blog/post/2023/06/14/etr-cve-2023-34362-moveit-vulnerability-timeline-of-events/)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

公共機関はベンダーのタイミングリスクを継承した

公共機関がベンダーのタイミングリスクを継承したことから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、Progress ドキュメント、修正済み課題(https://docs.progress.com/bundle/moveit-transfer-release-notes-2023/page/Fixed-Issues-in-2023.html)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。脆弱性勧告は特定の顧客がデータを失ったことの証明ではなく、顧客の侵害通知はそれ自体がベンダーの根本原因の証明ではない。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば CISA KEV カタログ(https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-34362)や Huntress、2023、技術分析(https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

フォレンジックはログを影響を受けた人々に結び付ける必要があった

フォレンジックがログを影響を受けた人々に結び付ける必要があったことから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、Progress Software、2023-07-07、Form 10-Q(https://investors.progress.com/static-files/f7098b70-af8e-4c41-9b35-307e950f87bb)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。中心的な害はタイミングであり、盗難、パッチ、ファイルレビュー、法務レビュー、公的通知は異なる時計で動く。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば CISA/FBI、2023-06-07および更新版、勧告(https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a)や Censys、2023-06-08、露出分析(https://censys.com/blog/moveit-transfer)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

保険および法務チームは境界のある事実を必要とした

保険および法務チームが境界のある事実を必要としたことから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、Progress Software、2024-01-26、Form 10-K(https://www.sec.gov/Archives/edgar/data/876167/000087616724000031/prgs-20231130.htm)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。管理型転送製品は、危機時に使用可能な露出インベントリを必要とする。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば UK NCSC、2023、MOVEit ガイダンス(https://www.ncsc.gov.uk/information/moveit-vulnerability)や Progress、2023-05-31以降、ベンダー勧告(https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

ベンダーの声明は顧客の調査に代わることはできなかった

ベンダーの声明が顧客の調査に代わることはできなかったことから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、Progress Software、2024-08-07、企業発表(https://investors.progress.com/news-releases/news-release-details/progress-announces-conclusion-sec-investigation-moveit)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。本記事は、Progress の勧告と多くの下流被害者通知を区別する。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば UK FCA、2023-06-19、規制対象企業声明(https://www.fca.org.uk/news/statements/moveit-vulnerability)や Progress、2023-07-05、顧客 FAQ PDF(https://www.progress.com/docs/default-source/moveit-docs/moveit-transfer_moveit-cloud-vulnerabilities-customer-faq_posted.pdf?sfvrsn=16a47a99_13)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

将来の契約は通知の証拠を定義すべきである

将来の契約が通知の証拠を定義すべきであることから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、NIST NVD、脆弱性記録(https://nvd.nist.gov/vuln/detail/cve-2023-34362)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。脆弱性勧告は特定の顧客がデータを失ったことの証明ではなく、顧客の侵害通知はそれ自体がベンダーの根本原因の証明ではない。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば Mandiant、2023-06-02および更新版、インシデント分析(https://cloud.google.com/blog/topics/threat-intelligence/zero-day-moveit-data-theft/)や Progress、2023-06-05、対応更新(https://www.progress.com/amp/update-steps-we-are-taking-protect-moveit-customers/dWU5d09jQTFGZndVVnJod2xERzk5TENYb204PQ2)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

未解決の疑問は盗難前の可視性である

未解決の疑問が盗難前の可視性であることから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、CISA KEV カタログ(https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-34362)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。中心的な害はタイミングであり、盗難、パッチ、ファイルレビュー、法務レビュー、公的通知は異なる時計で動く。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば Rapid7、2023-06-14および更新版、タイムライン(https://www.rapid7.com/blog/post/2023/06/14/etr-cve-2023-34362-moveit-vulnerability-timeline-of-events/)や Progress、2023-06-13、透明性更新(https://www.progress.com/amp/working-enhance-security-moveit-transfer-products-through-partnership-transparency/dWU5d09jQTFGZndVVnJod2xERzk5TENYb204PQ2)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

説明責任は通知が証明できる場所にある

説明責任が通知を証明できる場所にあることから始めるのが適切である。なぜなら、説明責任の問題は、管理型転送ソフトウェアが他人の機密記録の中継役であるため、ベンダーと各運用者は、誰が何をいつ知り、露出したファイルと顧客がどれだけ迅速に特定されたかを証明しなければならないからである。2023年の MOVEit Transfer 悪用の波は、ファイル転送製品を、企業、公共機関、請負業者、サービスプロバイダーにわたる広範な顧客通知問題に変えた。したがって、公的な説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、統制室外の人々が、何が変わり、誰がその変更を管理し、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。

Progress Software Corp - CSG にとって、実務的な管理対象範囲には、MOVEit Transfer のゼロデイ悪用、顧客パッチの指導、露見発見、下流通知、管理型ファイル転送、インシデント証拠、信頼境界の修復が含まれていた。これらの言葉は異なるチームと異なる証明義務を表している。セキュリティチームはログを保持し、製品チームはリリースまたはプラットフォームの証拠を保持し、法務チームは通知文言を管理し、財務は損失見積もりを管理し、顧客対応チームは影響を受けた人々が実際に使用できる説明を管理する可能性がある。説明責任は、これらの断片が別々の組織的記憶として残されるのではなく、一つの記録に統合されたときに現れる。

このセクションの一つの情報源境界は、CISA/FBI、2023-06-07および更新版、勧告(https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a)である。これは、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録に関する公的記録に有用であるが、それ自体ですべての内部統制の疑問に答えることはできないため、本記事ではそれが実際に裏付けられる主張の証拠として扱う。

限界は事実と同様に重要である。管理型転送製品は、危機時に使用可能な露出インベントリを必要とする。読者は、ある文が企業の開示、規制当局、裁判所、顧客、技術研究者、業界標準のいずれに由来するかを推測する必要がない。情報源の種類が明示的である場合、記事はより劇的ではなく、より正確に述べることができる。すなわち、記録が何を証明し、何を示唆し、何が未証明のままかを示す。

同じ規律が是正措置を変える。約束された修復が広範な保証のみである場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠、例えば Huntress、2023、技術分析(https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response)や Progress ドキュメント、2023リリースノート(https://docs.progress.com/bundle/moveit-transfer-release-notes-2023/page/Whats-New-in-Moveit-Transfer-2023.html)に結び付けられている場合、組織に日付、範囲、例外、テスト結果、および残存する依存関係を求めることができる。それが風評回復と説明責任のある回復の違いである。

読者用証拠ファイル

本記事では、Progress MOVEit の顧客通知連鎖の説明責任記録に関する読み物ファイルとして、以下の公的情報源を使用する。各情報源は境界を設けて扱われ、企業の声明は企業が述べたことや報告したことを証明し、裁判所の記録は法的姿勢を証明し、規制当局の記録は公的な措置や主張を証明し、技術記事はその範囲内で観察されたメカニズムを証明し、標準文書は回顧的な所見ではなく管理基準を提供する。

  1. Progress、2023-05-31以降、ベンダー勧告:https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
  2. Progress、2023-07-05、顧客 FAQ PDF:https://www.progress.com/docs/default-source/moveit-docs/moveit-transfer_moveit-cloud-vulnerabilities-customer-faq_posted.pdf?sfvrsn=16a47a99_13
  3. Progress、2023-06-05、対応更新:https://www.progress.com/amp/update-steps-we-are-taking-protect-moveit-customers/dWU5d09jQTFGZndVVnJod2xERzk5TENYb204PQ2
  4. Progress、2023-06-13、透明性更新:https://www.progress.com/amp/working-enhance-security-moveit-transfer-products-through-partnership-transparency/dWU5d09jQTFGZndVVnJod2xERzk5TENYb204PQ2
  5. Progress ドキュメント、2023リリースノート:https://docs.progress.com/bundle/moveit-transfer-release-notes-2023/page/Whats-New-in-Moveit-Transfer-2023.html
  6. Progress ドキュメント、修正済み課題:https://docs.progress.com/bundle/moveit-transfer-release-notes-2023/page/Fixed-Issues-in-2023.html
  7. Progress Software、2023-07-07、Form 10-Q:https://investors.progress.com/static-files/f7098b70-af8e-4c41-9b35-307e950f87bb
  8. Progress Software、2024-01-26、Form 10-K:https://www.sec.gov/Archives/edgar/data/876167/000087616724000031/prgs-20231130.htm
  9. Progress Software、2024-08-07、企業発表:https://investors.progress.com/news-releases/news-release-details/progress-announces-conclusion-sec-investigation-moveit
  10. NIST NVD、脆弱性記録:https://nvd.nist.gov/vuln/detail/cve-2023-34362
  11. CISA KEV カタログ:https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-34362
  12. CISA/FBI、2023-06-07および更新版、勧告:https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
  13. UK NCSC、2023、MOVEit ガイダンス:https://www.ncsc.gov.uk/information/moveit-vulnerability
  14. UK FCA、2023-06-19、規制対象企業声明:https://www.fca.org.uk/news/statements/moveit-vulnerability
  15. Mandiant、2023-06-02および更新版、インシデント分析:https://cloud.google.com/blog/topics/threat-intelligence/zero-day-moveit-data-theft/
  16. Rapid7、2023-06-14および更新版、タイムライン:https://www.rapid7.com/blog/post/2023/06/14/etr-cve-2023-34362-moveit-vulnerability-timeline-of-events/

この証拠ファイルは、単一の侵害通知よりも意図的に広範囲にわたっている。なぜなら、Progress MOVEit の悪用、パッチ提供ペース、顧客通知連鎖、管理型転送の説明責任記録は、複数の対象者に影響を与えたからである。公的記録は、実務的な行動を必要とする顧客、修復計画を必要とする管理者、範囲を必要とする規制当局、そしてどの主張が不確実なままかを知る必要のある読者を支援しなければならない。

取締役会レビュー質問

レビューファイルは、各決定の実務的な所有者、決定が行われた日付、使用された証拠、およびそれに依存した対象者を明記すべきである。その構造がなければ、同じインシデントが後日、技術的な障害、法的紛争、顧客サービスの問題、または財務問題として語り直される可能性があり、どの説明が完全であるかを判断するための安定した基準がなくなる。

有用な説明責任記録は、不確実性も保存する。企業の声明から何がわかっているか、政府や裁判所の記録から何がわかっているか、外部のインシデント対応者から何がわかっているか、そして何が推測のままかを明記すべきである。その分離は、読者を誤った正確性から保護し、組織を早期の確信を証拠として扱うことから保護する。

重要な管理手段は、事後の英雄的な対応ではない。それは、イベントが進行中であっても、どの証拠が意思決定を変えるかを示す能力である。顧客通知、取締役会報告書、保険請求、規制当局の更新が、さらなるログレビュー後に異なるものになるのであれば、その依存関係は記録に可視化されるべきである。 この特定のケースでは、取締役会は、ゼロデイ通知、顧客パッチの順序付け、管理型転送の露見発見、下流被害者への連絡、悪用の証拠、ファイル転送の信頼境界が修復されたことの証明について、実際に誰が実務的な管理権限を持っていたかを問うべきである。回答は単なる物語であってはならない。日付の入った証拠、指名された所有者、影響を受けた対象者、顧客向けのコミットメント、そして組織が公的記録が作成された時点でまだ証明できなかった事実のリストを含むべきである。