概要

  • Rackspace の2022年12月の Hosted Exchange インシデントは、管理メールを単なる通信ツールから事業継続性と説明責任の問題に変えた。メールは通信手段にとどまらず、ビジネスの記憶システム、取引ログ、法的記録、顧客サービス依存基盤だからだ。
  • 公開記録には、Rackspace のインシデントアップデート、年次報告書の開示、Microsoft の Exchange 脆弱性ガイダンス、CrowdStrike による Exchange 悪用分析、NVD と CISA の脆弱性コンテキスト、セキュリティ専門メディアやチャネル関係者による顧客影響レポートが含まれる。
  • 中心的統制課題は、Rackspace とその顧客がメールボックスの証拠を保全し、ユーザーを移行し、アーカイブされた通信を復元し、データ損失の申し立てを検証し、残存する不明点を説明し、復旧が単なるメールプラットフォームの変更以上のものであることを証明できるかどうかである。
  • 責任は分散していた。Rackspace は Hosted Exchange の運用、インシデントコミュニケーション、移行サポート、フォレンジック連携、復旧の主張を管理していた。顧客は自らの事業継続計画、バックアップ期待、法的ホールド、代替チャネル、事業中断の独自証拠を管理していた。
  • 持続的な教訓は、ホスティッドメールの継続性は障害発生以前にガバナンスされるべきだということである。プロバイダーの復旧メッセージだけでは不十分であり、顧客はプロバイダー側の障害をビジネスコミュニケーションが生き残れることを、契約上、技術上、証拠上で証明する必要がある。

ホスティッドメールはビジネスの記憶である

Rackspace のインシデントが重要なのは、Hosted Exchange が顧客業務の周辺にある装飾的なサービスではなかったからだ。多くの顧客にとって、ホスティッドメールは発注書、法的通知、患者コミュニケーション、人事メッセージ、顧客苦情、アカウントリセット、請求書記録、ベンダー指示、カレンダー予定、日常の管理決定が行き交う場だった。そのシステムが機能を停止したとき、停止は単なる不便さではなかった。それは事業の進行記録を寸断したのだ。

Rackspace の2022年12月6日の Hosted Exchange 環境アップデートでは、ランサムウェアインシデントが同社の Hosted Exchange 環境に影響し、サービス中断はその製品ラインに限定されると判断したと述べた。同社の12月9日のアップデートでは、インシデントは Hosted Exchange に封じ込められ、CrowdStrike が関与したと付け加えた。これらの声明は重要だが、説明責任の緊張関係も示している。プロバイダーは封じ込めを説明できるが、顧客は依然として通信できるか、過去のメールを取得できるか、証拠を保全できるか、法的または運用上の義務を果たせるかを知る必要があるからだ。

メールの継続性は多くの SaaS 障害とは異なる。なぜなら過去のメッセージが重要だからだ。ウェブサイトがダウンした顧客はサービスの復旧を必要とする。メールボックスにアクセスできない顧客は、何年分ものやり取りへのアクセスを必要とするかもしれない。この違いが復旧の負担を変える。復旧は単に「新しいメールを送受信する」ことではない。それはアーカイブアクセス、フォルダの整合性、添付ファイル、共有メールボックス、委任アクセス、保持ルール、証拠開示ニーズ、そして記録が黙って変更されたり失われたりしなかったことを確立する能力も含むのだ。

同社はまた、Hosted Exchange 環境アップデートその後のサイバーセキュリティインシデントアップデートなど、同じ基本アップデートを自社の公開ニュースルームにも掲載した。複数の公開チャネルは、顧客や投資家が同じ基本的事実を見つけるのに役立った。しかしそれらだけでは、顧客が直面していた現実的な疑問は解消されなかった。ホスティッドメールボックスが利用できず、ビジネスが別の場所で続いている場合、各組織は月曜日の朝に何をすべきか。

移行は統制上の決定であり、単純な回避策ではない

Rackspace はインシデント中、Microsoft 365への移行を推奨または支援した。多くの顧客にとって、それがライブメールへの最速の復旧ルートだった。しかし緊急時の移行は中立的な動きではない。それはアイデンティティ、アクセス、保持、アーカイブ可用性、管理者責任、契約上の依存、そして過去のメールと新しい業務を結ぶ証跡チェーンを変える。

公開されたインシデント声明は、緊急移行の論理を示している。もし Hosted Exchange が迅速に復旧できなければ、顧客は別の通信手段を必要とした。それは理にかなっている。説明責任上の問いは、移行の記録が新サービスの継続性と古い記録の復旧を区別できるかどうかである。顧客は過去のメッセージへの完全なアクセスをまだ欠いている間にも、新しいテナントを通じてメールの送信を始めることができる。古いフォルダ構造が利用できないままでも、ドメインを新しいメールボックスにルーティングできる。日々の通信を復旧できる一方で、法的、財務的、コンプライアンス上のアーカイブは未解決のままになるかもしれない。

Microsoft の2022年9月の報告された Exchange ゼロデイに関するガイダンス2022年11月の Exchange Server セキュリティアップデートがここで重要になるのは、このインシデントがより広範な Exchange のセキュリティ環境に位置していたからだ。これらの文書だけで Rackspace の根本原因が立証されるわけではない。しかし、顧客や対応者がすでに Exchange の露出、パッチ状況、悪用経路を単なる日常的な製品メンテナンス以上のものとして考えていた理由を示してはいる。

CrowdStrike によるOWASSRF の悪用分析と推奨は、Exchange インシデントが緊急の運用上の決定になり得る理由についての追加的な文脈を提供する。繰り返すが、これは完全な Rackspace のフォレンジックレポートではない。その価値は、Exchange の脆弱性連鎖、ウェブ向きのメールインフラ、悪用後の振る舞いが、いかにして技術アドバイザリから事業継続危機に急速に移行しうるかを可視化することにある。

移行はまた、小規模顧客を困難な立場に追いやった。多くの中小企業がメールをアウトソースするのは、まさに社内に深いメッセージングの専門知識がないからだ。インシデントの間、顧客は DNS の変更、ユーザーの検証、デバイスの設定、カレンダーの復旧、スタッフへの通知、クライアントへの対応、記録の保存を行わなければならなかったかもしれない。プロバイダーは指示を出せても、顧客が事業リスクを負い続けた。性急な移行は当面の通信を解決する一方で、後になってアーカイブ、委任されたメールボックス、保持、行方不明の添付ファイルをめぐる混乱を生み出す可能性がある。

したがって、説明責任のあるプロバイダー記録は、三つの結果を区別すべきである。ライブメール復旧は、ユーザーが再び通信できることを意味する。過去のメール復旧は、以前の通信がアクセス可能で実質的に完全であることを意味する。証拠保存は、顧客がインシデント中に事業記録に何が起こったかを示せることを意味する。これらを単一のステータスとして扱うことは、最も重要な復旧の問いを隠してしまう。

顧客の証拠はプロバイダーの表現だけに依存できない

Rackspace のコミュニケーションは必要だったが、顧客の証拠はプロバイダーの言い回しだけに限定されるべきではなかった。法律事務所、医療機関、コンサルタント、小売業者、地方自治体のサプライヤー、金融機関は、どのメッセージが受信され、失われ、遅延し、転送され、復旧され、または利用不可能だったかを証明する必要があるかもしれない。その証明は顧客固有でなければならない。

同社の2022年 Form 10-Kは、投資家にインシデントに関する正式な開示の文脈を提供した。Rackspace の2025年 Form 10-Kを含むその後の提出書類は、サイバーインシデントが最初の混乱の一週間を超えて、公開企業のリスクおよび運営記録の一部であり続けることを示している。これらの提出書類は投資家が企業レベルのエクスポージャーを理解するのに役立つが、特定の共有メールボックス、訴訟ホールドフォルダー、請求書スレッド、患者紹介メールが復旧されたかどうかを各顧客に伝えるものではない。

この企業開示と顧客証拠の違いが中心的である。プロバイダーはインシデントが封じ込められたと言えるかもしれない。顧客は依然として、自分のメールボックスが破損したのか、暗号化されたのか、コピーされたのか、アクセス不可能だったのか、移行されたのか、またはバックアップから復旧されたのかを知る必要があるかもしれない。プロバイダーはシステムが復旧中であると言えるかもしれない。顧客は、逃した約束、失われた売上、契約通知、またはサポートチケットと照合できるタイムラインを必要とするかもしれない。プロバイダーは何らかのリスクの証拠はないと言えるかもしれない。顧客は、どの証拠が調査されたかを知る必要があるかもしれない。

National Vulnerability Database のCVE-2022-41080およびCVE-2022-41082のレコードは、公開された脆弱性メタデータがどのように共通のリスク言語を支えるかを示すため有用である。CISA の既知の悪用脆弱性カタログは、修復プレッシャーの文脈を追加する。しかし、これらの公的データベースのいずれも、Rackspace の影響を受けた環境からの顧客固有の証拠に取って代わることはできない。

したがって、顧客は独自のインシデントファイルを必要とした。それには、ユーザーが最初に混乱に気づいた時刻、受領したプロバイダー通知、取った移行措置、DNS 変更、バックアップ状況、メールフローのワークアラウンド、影響を受けたユーザー、失われたビジネスプロセス、メールが復旧された日付、まだ行方不明のメッセージ、影響を受けた訴訟ホールド、送信した顧客コミュニケーション、発生した費用を含めるべきである。これは骨の折れる作業だが、これなしでは顧客の経験はプロバイダーの一般的なインシデントナラティブの中でぼやけてしまう。

最も強力な説明責任記録は、顧客がそれらのローカルな事実をプロバイダーの証拠と結びつけることを可能にするものだ。Rackspace はいつ特定の環境が影響を受けたと知ったのか?顧客のメールが最後に無傷だったのはいつか?どの復旧パスが適用されたのか?過去のメールボックス復元は試みられたのか?どのデータが(もしあれば)復旧できなかったのか?どのフォレンジック結論が利用可能で、どれが未知のままか?顧客はこれらの事実を広範な公開アップデートから推測しなければならないべきではない。

ホスティッドメールの集中は中小企業の非対称性を生む

このインシデントはまた、より注目に値する非対称性を露呈した。大企業は事業継続チーム、独立したアーカイブシステム、法的証拠開示ツール、代替通信チャネル、調達上の交渉力を持っているかもしれない。中小規模の顧客はしばしばそれらを持たない。彼らがホスティッドメールを購入するのは、それが専門知識、インフラ、セキュリティ、バックアップ、サポートを一つのサービス関係にバンドルしているからだ。そのプロバイダーに障害が起きたとき、顧客は最も証拠を必要とするまさにその時に、最も少ない能力しか持たないかもしれない。

Cybersecurity Dive はインシデント中、顧客のメールアクセス問題とランサムウェアの文脈を報じた。MSSP Alert はマネージドサービス関係者向けにタイムラインと復旧アップデートを維持した。Pax8 は混乱を乗り切る顧客やチャネルプロバイダー向けにパートナー向けガイダンスを公開した。これらの二次情報源は Rackspace の証拠の代わりにはならないが、この停止が単なるベンダーインシデントではなく、チャネルと中小企業の継続性のイベントになったことを示している。

この非対称性は実際的なものである。小規模企業は自社が独立したメールバックアップを持っていたかどうか知らないかもしれない。DNS 伝播にどれだけ時間がかかるか知らないかもしれない。単一のメールアドレスしか知らない顧客向けのコミュニケーション計画を持たないかもしれない。ユーザーが仕事を継続するために個人メール、SMS、またはその場しのぎのメッセージングを使い始めたとき、監査証跡をどのように保存するか知らないかもしれない。これらの即席チャネルは事業運営を維持できるが、証拠の質を損なう。

ここで説明責任はインシデント対応以上のものになる。プロバイダーが合理的に自力救済できない顧客に管理メールを販売するなら、プロバイダーの継続性義務はインシデントの前に明示的であるべきだ。メールボックスデータに適用される復旧ポイント目標(RPO)は何か?ライブメールに適用される復旧時間目標(RTO)は何か?どのアーカイブアクセスが約束されているか?プロバイダー側のインシデント中にどのようなサポートが利用可能か?顧客に求められるアクションは何か?復旧後にプロバイダーはどのような証拠を提供するか?復旧が失敗した場合、どのような補償またはサービス与信のメカニズムが存在するか?

同じ問いはリセラーや MSP の関係においても当てはまる。影響を受けた多くの顧客は、パートナーを通じてサービスを購入したり、移行をコンサルタントに頼ったり、チャネルプロバイダーが Rackspace のアップデートを伝えることを期待したかもしれない。その連鎖の中で、説明責任は断片化し得る。Rackspace は影響を受けているホスティッド環境を管理する。パートナーは顧客コミュニケーションと移行支援を管理する。顧客は事業継続性とローカル記録を管理する。いずれか一つのリンクの失敗が、技術的なインシデントを長期にわたる運用上の害に変え得る。

したがって、中小企業の継続性は、わかりやすい製品機能として設計されるべきである。顧客は、ホスティッドメールが1日、1週間、またはそれ以上利用できない場合に何が起こるかを理解できるべきだ。古いメールがどこにバックアップされているか、サポートにどう連絡するか、メールフローをどう切り替えるか、記録をどう保存するか、損失をどう文書化するかを知っているべきだ。これらは贅沢な管理策ではない。技術的な負担を意図的にアウトソースした顧客にとって、マネージドサービスを安全にするものこそ、これらである。

コスト記録は重要だが、投資家だけのものではない

Rackspace の財務開示とその後のインシデント費用に関する報告は重要である。なぜなら、コストは運用上の失敗が永続的になる一つの方法だからだ。Cybersecurity Dive は後に、会社提出書類と結びついたRackspace のランサムウェア費用を報じた。コストシグナルが全てではない。しかしそれらは、インシデント対応、顧客サポート、法務作業、移行、復旧、事業混乱が最初の公開アップデートが薄れたときに終わらないことを示している。

投資家向けのコスト開示は、株主が重要性を評価するのに役立つ。顧客向けのコスト証拠は、影響を受けた組織が自らの損失を理解するのに役立つ。それらは異なるオーディエンスである。プロバイダーがインシデント費用の総額を報告する一方で、顧客はまだスタッフの時間、失われた売上、逃した請求、代替コンサルタント、アーカイブ復旧作業、顧客離れ、法的コスト、サービス混乱を計算しているかもしれない。公開企業の記録は、顧客レベルの損害を解決することなく、インシデントの企業フットプリントを認識することができる。

これが、サービス契約とインシデント後の証拠が、継続性をアップタイムだけに矮小化すべきでない理由である。メールの利用不能は、測定が難しい間接的コストを課す。すなわち、遅延した承認、逃した約束、重複作業、失われた顧客の信頼、コンプライアンスの不確実性、そして代替チャネルを通じて送信されたメッセージを再構築するために費やされた時間である。これらのコストは顧客ごとには小さいかもしれないが、ロングテール全体では大きい。

説明責任のある記録は、二つの脆弱な両極端を避けるべきだ。一つの極端は、あらゆる不便を壊滅的なデータ損失の主張として扱うことだ。それは公開記録が証明していることを誇張する。もう一つは、新しいメールボックスが機能するからといってプロバイダーの復旧が完了したと扱うことだ。それは顧客が過去のアクセス、証拠の継続性、信頼において失ったかもしれないものを過小評価する。正しい姿勢は証拠に基づくことだ。何が混乱したか、何が復旧されたか、何が不明のままか、そしてそのギャップによってどんなコストが生み出されたかを特定することだ。

Rackspace のケースはまた、サイバーコストの報告が企業中心になりすぎる可能性があることを思い出させる。プロバイダーの費用は提出書類に見える。顧客の費用は、小規模企業、法律事務所、地域の診療所、コンサルタント、コミュニティ組織に散らばっているかもしれない。これらのコストが一つのきれいな公的数値に現れることは稀である。しかしそれこそが、サービス継続性が重要である理由だ。プラットフォームのインシデントは、より少ない交渉力とより弱い証拠システムを持つ組織へとコストを外向きに移転させ得る。

規制当局や保険会社にとって、その分布は重要である。プロバイダー側のインシデントは、個々には重要に見えないがシステム的な依存関係を明らかにする何千もの小さな継続性の失敗を生み出し得る。したがって、保険アンケート、ベンダーリスク評価、調達テンプレートは、プロバイダーがインシデント対応を持っているかだけでなく、顧客がデータ、復旧、タイミング、残余リスクについて使用可能なインシデント後の証拠を入手できるかも尋ねるべきである。

復旧声明には残存不明点の規律が必要

ホスティッドメールのインシデント後に最も重要な規律の一つは、何が依然として不明であるかを述べることだ。不明点はそれ自体では失敗ではない。それらは、自信に満ちた復旧の言葉の背後に隠されたときに説明責任の失敗となる。Rackspace のケースでは、公開情報源はメールボックスの復旧、データ損失、内部タイムライン、根本原因、パッチまたは緩和の状態、契約上の救済について、顧客ごとの疑問を未解決のまま残した。これらの疑問は、滑らかに取り除かれるのではなく、記録されるべきである。

公開された Exchange 脆弱性の文脈は、残余不明点がなぜ困難だったかを説明する助けとなる。Microsoft のガイダンス、NVD レコード、CISA KEV エントリ、CrowdStrike の分析は、Exchange の露出が多角的に議論され得る脅威環境を示している。しかし顧客はローカルな結論を必要とした。顧客のデータは影響を受けたのか?メールは暗号化されたが復旧可能だったのか?データはコピーされたのか?バックアップは無事だったのか?メールボックスアーカイブは利用可能だったのか?ログは十分だったのか?どの結論がフォレンジック証拠に基づき、どの結論が証拠の不在に基づいたのか?

「証拠なし」というフレーズは特に繊細である。それは、調査者が注意深く調べて何も見つけなかったことを意味し得る。また、証拠が利用可能でなかったか、保持されていなかったか、顧客固有でなかったことを意味し得る。プロバイダーはこのフレーズを責任を持って使用できるが、顧客はどの証拠がその背景にあるのか尋ねるべきだ。どのシステムが調査されたのか?どのログが存在したのか?どの期間がカバーされたのか?顧客固有の結論を引き出せたのか?いずれかのシステムが損傷が激しく、または利用不可能で調査できなかったのか?

残余不明点の規律は、顧客コミュニケーションにも役立つ。影響を受けた企業は、メールが混乱したこと、一部のメッセージが遅延した可能性があること、代替チャネルが使用されたこと、または過去の記録がまだ検討中であることをクライアントに伝える必要があるかもしれない。プロバイダーのステータスページが復旧は進んでいると述べても古いメールへのアクセスを明確にしない場合、顧客は自社のステークホルダーに対してどれだけ率直であるべきか推測するしかなくなるかもしれない。

より良いモデルは復旧マトリクスである。ライブ送受信:復旧済み、部分的に復旧、または未復旧。過去のメールボックスアクセス:復旧済み、保留中、不完全、または不明。データ流出の証拠:定義されたレビューの後に発見、未発見、または不明。顧客固有のタイムライン:利用可能、推定、または利用不可能。訴訟ホールドの影響:影響なし、影響あり、または不明。この種のマトリクスは不確実性を使用可能にする。

Rackspace は全ての顧客固有の記録を一般に公開する必要はなかった。プライバシー、法的、セキュリティ上の制限は重要である。しかし顧客は、自らのリスクファイルを閉じるために十分な直接証拠を必要とした。公開説明責任の教訓は、復旧の文言が異なる状態を一つの安心させる文に押し込めてはならないということである。

メールアーカイブは法的基盤である

メールアーカイブは、訴訟、監査、調査、保険審査、税務申告、雇用紛争、顧客苦情、または規制調査がそれらを必要とするまで、静かに置かれていることが多い。したがって、ホスティッドメールのインシデントは法的インフラの問題を引き起こす可能性がある。問いは、ユーザーが昨日のメッセージを読めるかどうかだけではない。組織が何ヶ月も何年も後に必要になり得る通信を保存し、検索し、提出し、真正性を証明できるかどうかである。

その義務は顧客によって異なる。法律事務所には一つのプロファイルがある。医療提供者には別のものがある。変更指示を管理する建設会社にはまた別のものがある。寄付者記録を扱う非営利団体にも別のものがある。しかし、ほぼ全ての企業がメールを証拠として使用している。プロバイダー側のインシデントがその証拠へのアクセスを混乱させる場合、顧客は復旧が進行中にどのような記録保存義務が適用されるかを知る必要がある。

Rackspace の記録は、顧客がプロバイダーのインシデントとは別に、訴訟ホールドと保持をレビューするよう促すはずだ。もしメールボックスが訴訟ホールドの対象だったなら、そのホールドは移行中に保存されたか?もしメッセージがエクスポートされたなら、誰が証拠保全の連鎖を維持したか?もしユーザーが新しい Microsoft 365メールボックスを作成したなら、古いメールボックスはどのようにマッピングされたか?もし共有メールボックスが行方不明だったなら、誰がそのギャップを文書化したか?もしカレンダーエントリや添付ファイルが復旧されなかったなら、それはどのように伝えられたか?

これは単に弁護士の心配事ではない。それは事業運営に影響する。争われている発注書、作業範囲の承認、保険通知、患者紹介、給与指示、雇用苦情はメールによって証拠付けられるかもしれない。もしそのメッセージが欠落しているかアクセス不可能なら、運用上の紛争は解決がより困難になる。プロバイダーの停止は、そのとき顧客とそのステークホルダーとの間の証明問題になる。

したがって、顧客はベンダーリスク評価にアーカイブのレジリエンスを含めるべきだ。ホスティッドメールが独立してバックアップされているか、バックアップが本番環境から分離されているか、アーカイブをエクスポートできるか、復旧テストに過去のメールが含まれているか、プロバイダーが復元を証明できるかを尋ねるべきだ。また、法的または規制対象のワークフローに別個のアーカイブサービスが必要かどうかも決定すべきである。

プロバイダーはこれを理解しやすくすべきだ。小規模顧客が、過去のメール復旧が製品の一部かどうかを発見するためにフォレンジックコンサルタントを必要とすべきではない。販売契約、サポート文書、インシデントランブックは、プロバイダー側のセキュリティイベント中にアーカイブに何が起こるかを説明すべきだ。もし答えが限定的なら、率直にそう述べるべきだ。顧客は、障害発生前に限界が見えているときにのみ、合理的な継続性の決定を下せる。

サポートチャネルはインシデント表面の一部となった

プロバイダーの停止中、サポートは基盤となる。顧客が必要とするのはスローガンではなく指示である。緊急ケースを優先し、影響を受けたユーザーを特定し、移行支援を得て、アーカイブについて問い合わせ、フィッシングリスクを確認し、法的または規制上の懸念をエスカレーションする方法を必要としている。サポートチャネルが過負荷、矛盾、またはあまりに一般的である場合、顧客はより多くのリスクを生み出す方法で即興的に対処するかもしれない。

Rackspace のケースは、サポート品質がなぜ統制であるかを示した。公開アップデートは共通のベースラインを確立できるが、各顧客は依然として実行可能な手順を必要とする。どのドメインが DNS 変更を必要とするか?どのメールクライアントが再設定を必要とするか?どのユーザーを最初に移行すべきか?共有メールボックスはどのように扱われるか?顧客は自らのクライアントに何を伝えるべきか?データ盗難について何を前提とすべきでないか?経費をどこに記録すべきか?停止に乗じた詐欺をどう回避できるか?

チャネルパートナーと MSP は、その表面の一部だった。Pax8 のガイダンスや MSSP Alert のタイムラインは、マネージドサービスのエコシステムが顧客の質問を吸収しなければならなかったことを示している。そのエコシステムは大いに役立つが、ルーティングリスクも生み出す。顧客は、Rackspace、リセラー、コンサルタント、Microsoft のいずれが次のステップを管理しているのか分からないかもしれない。責任が不明確なら、復旧は遅れ、証拠は断片化する。

サポートにはアイデンティティ保証も含めるべきだ。攻撃者はしばしば、フィッシングメッセージ、偽のサポート電話、認証情報を収集するページ、偽の移行指示などで注目度の高いインシデントに乗じる。プロバイダー側のメール停止は、顧客がすでに珍しい指示を予期しているため、彼らを脆弱にする。プロバイダーは、顧客にコミュニケーションを認証する信頼できる方法を提供し、日和見的な詐欺に対して警告すべきである。

サポート記録は保存されるべきだ。顧客はプロバイダーのメール、チケット、チャットの記録、移行指示、DNS 変更ログ、コンサルタントの請求書、内部決定を保持すべきだ。これらの記録は後に、保険、紛争解決、訴訟、または学んだ教訓のために必要になるかもしれない。危機の間には平凡に感じられるサポートのやり取りが、顧客が何を伝えられたかの唯一の証明になるかもしれない。

プロバイダーにとって、これはインシデントサポートがインシデント前に設計されるべきであることを意味する。テンプレートは有用だが、それらが顧客固有に作れる場合に限る。ステータスページは有用だが、サービスの復旧とデータ復旧を分離する場合に限る。コールセンターは有用だが、エージェントが法的、規制対象、影響度の高いケースをどうルーティングするかを知っている場合に限る。サポートシステムはインシデントの外側にあるのではなく、インシデント中の顧客の主な統制手段である。

契約文言は運用実態と一致すべき

Rackspace のインシデントは、顧客が管理メール契約をどう読むかを変えるべきだ。多くの顧客は価格、メールボックスサイズ、サポート時間、スパムフィルタリング、移行支援に注目する。彼らはまた、停止、バックアップ、セキュリティインシデント、データ復旧、サービス与信、責任制限、顧客の義務、通知、下請業者、契約終了を規定する条項も読むべきだ。これらの条項が、通常のサービス約束が破られたときにどのような証拠と救済が利用可能かを決める。

最も重要な契約上の問いは、顧客が何が約束され何が約束されていないかを理解しているかどうかだ。もしバックアップが保証されないなら、顧客はそれを知るべきだ。もしサービス与信が主な救済策なら、顧客はその救済策がビジネス記憶の喪失にとって意味があるかどうかを知るべきだ。もしプロバイダーが間接損害に対する責任を放棄するなら、顧客は別個の保険またはアーカイブ管理が必要かどうかを判断すべきだ。もしインシデント通知が顧客固有ではなく広範なら、顧客は独自の証拠収集を計画すべきだ。

契約はまた、運用上の引き継ぎを明示すべきだ。別のプラットフォームへの移行が可能性のある緊急パスである場合、誰がそれを実行するのか?誰がライセンス、コンサルタント、サポート時間の費用を支払うのか?誰が古いメールを保存するのか?誰が新しい環境を検証するのか?誰がユーザーとコミュニケーションを取るのか?誰が依然としてアクセス不可能な記録を扱うのか?移行に依存しているがこれらの義務を特定していない継続性計画は不完全である。

規制対象の顧客にとって、契約は法的義務とも整合すべきだ。医療、金融、法務、公共部門、教育、重要サービス組織は、特別な保持、侵害通知、機密保持、可用性の義務を持つかもしれない。もしこれらの組織がホスティッドメールに依存しているなら、彼らは自らの義務に適合するプロバイダーのコミットメントを必要とする。一般的な消費者向けのサポート対応では不十分かもしれない。

プロバイダーは、マネージドサービスにはスケールが必要であるため、顧客固有のコミットメントに抵抗するかもしれない。それは理解できる。しかし、スケールは説明責任を取り除くわけではなく、明確さをより重要にする。標準化されたコミットメントでも正確であり得る。どのログが保持されるか、どの復旧目標が適用されるか、アーカイブ復旧には何が含まれるか、どの顧客アクションが要求されるか、セキュリティインシデント後にどの証拠が提供されるかを述べることができる。

顧客はメールの継続性を調達基準として扱うべきであり、インシデント後の驚きとしてではない。最も安価なホスティッドメールボックスは、組織が後日、個人デバイス、PDF、転送メッセージ、記憶からコミュニケーションを再構築するのに何週間も費やすなら、最も安価ではない。責任ある購買の問いは、「今日そのサービスは機能するか?」だけではない。「サービスが失敗した場合、我々の事業記録が生き残ることを証明できるか?」である。

顧客側の訓練は一つのメールボックスから始めるべき

顧客にとって最も有用な教訓は、抽象的に壮大な継続性フレームワークを設計することではない。重要なメールボックスを一つ選び、プロバイダー側のサービスが明日利用できなくなったら何が起こるかをテストすることだ。真の組織的記憶を担うメールボックスを選ぶ:買掛金、受付、法務、サポート、紹介、注文、ライセンス、患者スケジュール、投資家向け広報、または経営管理など。そして、その組織が機能し続け、証拠を保存し、後で何が起こったかを説明できるかどうかを問う。

この訓練は所有権から始めるべきだ。ビジネスプロセスとして誰がそのメールボックスを所有しているか?技術的に誰が管理しているか?誰が緊急ルーティング変更を承認できるか?誰がそれがアーカイブ、共有アクセス、転送ルール、委任、保持ポリシー、訴訟ホールドを持っているか知っているか?もし答えがめったに話さない人々の間に分散しているなら、そのメールボックスはすでに継続性リスクである。ホスティッドメールプロバイダーはインフラを復旧できるが、顧客の内部的なビジネス上の重要性を容易に推測することはできない。

次に、顧客は可視性をテストすべきだ。メールフローがいつ停止したかが見えるか?停止前にどのメッセージが到着したかを証明できるか?停止中に代替チャネルを通じて送信されたメッセージを特定できるか?どの顧客、ベンダー、規制当局、患者、パートナーが影響を受けたかがわかるか?もし答えがノーなら、インシデント記録はスクリーンショット、記憶、散在する個人メモに依存することになる。それは信頼できる証拠システムではない。

訓練は次に復旧をテストすべきだ。もしメールボックスが新しいサービスに移行されたら、ユーザーは古いフォルダを見つけられるか?共有メールボックスは正しくマッピングされているか?エイリアスは保存されているか?モバイルデバイスは再設定されているか?カレンダーエントリは無傷か?添付ファイルは検索可能か?委任された権限は盲目的に再作成されるのではなくレビューされているか?プライマリ受信トレイのみを復旧する移行は、通常のユーザーが新しいメッセージを送信できても、ビジネスプロセスを部分的に壊したままにするかもしれない。

その後、顧客は法的およびコンプライアンスの態勢をテストすべきだ。そのメールボックスは保持ルールの対象か?規制対象データを含んでいるか?訴訟ホールド下のメッセージはあるか?アーカイブエクスポートは利用可能か?誰が過去の記録が実質的に完全であると証明できるか?平穏な運用中にこれらの質問に誰も答えられないなら、プロバイダーがランサムウェアから復旧している間にそれらが容易になることはない。

最後に、訓練は短い証拠パックを作成すべきだ。それはメールボックス、所有者、技術管理者、プロバイダー、バックアップまたはアーカイブの状態、復旧パス、代替通信チャネル、顧客通知の担当者、訴訟ホールドの状態、残余不明点を示すべきだ。そのパックは維持できるほどに退屈で、使用できるほど具体的であるべきだ。英雄的な記憶や一人のエンジニアのラップトップに依存すべきではない。

この一メールボックス訓練はスケールするため価値がある。もし顧客が一つの重要なメールボックスについて継続性を証明できないなら、ほぼ間違いなく全てのメールボックスについて継続性を証明できない。もし一つのメールボックスについて継続性を証明できるなら、財務、法務、運用、サポート、経営陣、規制対象ワークフローのためのパターンを持つことになる。Rackspace からの教訓は、全ての顧客がエンタープライズグレードのインフラを必要とするということではない。全ての顧客が、プロバイダーのインシデントをローカルな証拠に変える少なくとも一つの実践された方法を必要とするということだ。

次に、プロバイダーとの関係をこの訓練に照らしてテストすべきだ。契約は顧客が必要とする証拠を提供しているか?サポートは技術管理者だけでなくメールボックス所有者の扱い方を知っているか?プロバイダーはライブメールの復旧とアーカイブの復旧を区別しているか?プロバイダーは顧客固有のステータスを提供するか、それとも広範なインシデントノートだけか?顧客は回答を得るのに十分な影響力を持っているか?この訓練は、安価なメールボックス製品が日常的なコミュニケーションには許容できるが、規制対象または高価値のビジネス記憶には不十分であることを明らかにするかもしれない。

同じ訓練は保険や取締役会報告の指針にもなり得る。リスク委員会は、メールが「アウトソースされている」かどうかを尋ねる代わりに、組織がホスティッドメールプロバイダーなしで数日間、一つの重要なワークフローを実行し証明できるかどうかを尋ねることができる。保険会社は、プロバイダーがバックアップを持っているかどうかを尋ねる代わりに、顧客が実際に使用しているアーカイブの復旧をテストしたかどうかを尋ねることができる。これらの質問は、プロバイダーのインシデントを抽象的なサイバーシナリオから具体的な事業継続記録に変える。

タイポグラフィ

タイポグラフィは、書き言葉を見やすく、読みやすく、視覚的に魅力的にするために文字を配置する芸術と技術です。書体の選択、ポイントサイズ、行長、行間、文字間隔の調整を含みます。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクによる活版印刷の発明に端を発します。
  • 主要な要素には、フォントの選択、カーニング、トラッキング、リーディングが含まれます。
  • 良いタイポグラフィは読みやすさを向上させ、デザインのムードやトーンを伝えます。

説明責任の問いは継続性の証明である

Rackspace Hosted Exchange インシデント後の説明責任上の問いは、単に Rackspace が最終的にサービスの道筋を安定させたかどうかではない。それは、顧客が通信記録全体にわたって継続性を証明できたかどうかである:ライブメール、過去のメール、アーカイブの整合性、訴訟ホールド、ユーザーアイデンティティ、サポート指示、インシデントタイムライン、残余不明点。その証明なしでは、復旧は部分的に修辞的なままである。

この証明の負担は正直に共有されるべきだ。Rackspace は影響を受けた環境のプロバイダーとしての義務を負っていた。顧客は継続性計画を維持し、依存関係を理解し、ローカルな証拠を保存し、自らのステークホルダーとコミュニケーションを取る義務を負っていた。パートナーは技術的な復旧を使用可能な顧客アクションに変換する義務を負っていた。ソフトウェアベンダーやセキュリティ研究者は文脈を提供したが、ローカルな証拠がリスクを決定した。

公開記録は、全ての顧客が同じ損害を被った、全てのメールボックスが失われた、または全てのリスクが既知であったという単純な主張を支持しない。それはより狭く、より有用な結論を支持する:管理メールの集中は、プロバイダー側のセキュリティインシデントを何千もの顧客の継続性の決定に転換し得る。プロバイダーは技術的インシデントを封じ込めることができるが、顧客は運用上の不確実性にさらされたままである。

したがって、将来のリスクレビューは具体的な質問をすべきだ。我々のビジネスメールはどこにアーカイブされているか?ホスティッドメールが停止した場合、通信できるか?過去のメッセージを復旧できるか?緊急移行中に訴訟ホールドを保存できるか?どのメールボックスが最も重要か分かっているか?顧客通知テンプレートを持っているか?代替の認証されたサポートチャネルを持っているか?プロバイダーの証拠コミットメントを理解しているか?復旧を想定するのではなくテストしたか?

プロバイダーにとって、次の健全な対応は、ライブメールの復旧と記録の復旧、顧客移行と顧客証拠、インシデントの確信と残余不明点を分離すべきである。この分離は不確実性を可視化するため不快かもしれない。しかし、目に見える不確実性は隠れた不確実性よりも良い。特に、顧客が自らの法的、運用的、財務的決定を下さなければならない場合には。

Rackspace の Hosted Exchange インシデントは、アウトソースされたシステムにおけるビジネス記憶についての警告として記憶されるべきだ。メールは常に使用されるため平凡に感じられる。その平凡さが制度的な役割を隠している。それは組織が約束したこと、受け取ったこと、争ったこと、承認したこと、却下したこと、スケジュールしたこと、支払ったこと、負ったことを記憶する場である。ホスティッドメールが機能しなくなったとき、継続性の問いは人々が次のメッセージを送れるかどうかだけではない。それは、組織が以前に届いたメッセージの記録を依然として信頼できるかどうかである。

それが説明責任のテストである。マネージドサービスは、通常通り稼働するだけでなく、通常の運用が崩壊したときに証拠を生み出すことによって信頼を獲得する。ホスティッドメールのインシデントでは、証拠はプロバイダーシステムから顧客アーカイブへ、復旧声明から法的記録へ、緊急移行からビジネス記憶が無傷のままだったという証明へと、ずっと届かなければならない。