要約
- SolarWinds Orion インシデントは、政府の対応、顧客への警告、証券訴訟、その後も公開セキュリティ声明の証拠の質をガバナンス問題として残した却下記録が続いた。
- リスク声明、内部セキュリティ証拠、公開是正主張、顧客警告、取締役会報告、およびセキュリティ言語が実際のリリース完全性記録と一致するという証明を、誰が実質的に管理していたか?
- 説明責任の問題は、ビルドシステムが侵害されたことだけではない。リスク記述、管理主張、是正声明が確信言語ではなく検証可能な証拠に結び付けられていたかどうかである。
- 顧客、政府機関、投資家、ソフトウェア購入者、インシデント対応者、取締役、セキュリティリーダーは、申し立て、調査結果、企業の主張、独立した技術的証拠を区別した記録を必要としていた。
- 本記事は、申し立て、企業の主張、規制当局記録、技術的調査結果、法廷姿勢、残存不明点を区別し、説明責任が物語の力ではなく証拠に基づくようにする。
リスク言語は管理面の一部となった
リスク言語が管理面の一部となった点から始めるのが適切である。なぜなら、説明責任の問題はビルドシステムが侵害されたことだけではなく、リスク記述、管理主張、是正声明が確信言語ではなく検証可能な証拠に結び付けられていたかどうかであるからだ。SolarWinds Orion インシデントは、政府の対応、顧客への警告、証券訴訟、その後も公開セキュリティ声明の証拠の質をガバナンス問題として残した却下記録が続いた。したがって、公開説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、制御室の外にいる人々が何が変わったか、その変更を誰が制御したか、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。
SolarWinds North America, Inc. にとって、実際の管理面には、リスク声明、内部セキュリティ証拠、SEC の申し立てと却下姿勢、顧客への警告、ビルドの完全性、Secure by Design の約束、取締役会報告、公開是正証明が含まれていた。これらの言葉は、異なるチームと異なる証明義務を名指しする。セキュリティチームはログを保持するかもしれない、製品チームはリリースまたはプラットフォームの証拠を保持するかもしれない、法務チームは通知言語を管理するかもしれない、財務は損失見積もりを管理するかもしれない、顧客対応チームは影響を受ける人々が実際に使用できる説明を管理するかもしれない。説明責任は、それらの断片が別々の組織記憶として残されるのではなく、一つの記録に結合されるときに現れる。
このセクションの一つの情報源の境界は、Mandiant / FireEye, 2020-12-13, インシデント対応者技術レポート(https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/)である。これは、solarwinds セキュリティリスク声明、SEC 訴訟記録、開示証拠説明責任記録に関する公開記録に役立つが、それだけで全ての内部管理質問に答えることはできないため、本記事はそれが実際に裏付けられる主張の証拠として扱う。
限界は事実と同じくらい重要である。本記事は、裁判所および SEC 記録を法医学監査ではなく法的姿勢として扱う。読者は、文が企業開示、規制当局、裁判所、顧客、技術研究者、またはセクター基準のいずれから来たのかを推測する必要があってはならない。情報源の種類が明確な場合、本記事はより劇的ではなく、より正確に述べることができる:記録が証明するものはこれ、示唆するものはこれ、証明されていないものはこれである。
同じ規律が是正を変える。唯一約束された修復が広範な保証である場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠に結び付けられている場合、例えば SolarWinds, 2020-12-14, SEC Form 8-K(https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm)および NSA, 2020-12-17, サイバーセキュリティ勧告(https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/)など、組織は日付、範囲、例外、テスト結果、残存依存関係を問われる可能性がある。それが風評回復と説明責任のある回復の違いである。
却下記録はビルド環境を認定しなかった
却下記録はビルド環境を認定しなかった点から始めるのが適切である。なぜなら、説明責任の問題はビルドシステムが侵害されたことだけではなく、リスク記述、管理主張、是正声明が確信言語ではなく検証可能な証拠に結び付けられていたかどうかであるからだ。SolarWinds Orion インシデントは、政府の対応、顧客への警告、証券訴訟、その後も公開セキュリティ声明の証拠の質をガバナンス問題として残した却下記録が続いた。したがって、公開説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、制御室の外にいる人々が何が変わったか、その変更を誰が制御したか、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。
SolarWinds North America, Inc. にとって、実際の管理面には、リスク声明、内部セキュリティ証拠、SEC の申し立てと却下姿勢、顧客への警告、ビルドの完全性、Secure by Design の約束、取締役会報告、公開是正証明が含まれていた。これらの言葉は、異なるチームと異なる証明義務を名指しする。セキュリティチームはログを保持するかもしれない、製品チームはリリースまたはプラットフォームの証拠を保持するかもしれない、法務チームは通知言語を管理するかもしれない、財務は損失見積もりを管理するかもしれない、顧客対応チームは影響を受ける人々が実際に使用できる説明を管理するかもしれない。説明責任は、それらの断片が別々の組織記憶として残されるのではなく、一つの記録に結合されるときに現れる。
このセクションの一つの情報源の境界は、Mandiant / FireEye, 2020-12-24, マルウェア分析(https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/)である。これは、solarwinds セキュリティリスク声明、SEC 訴訟記録、開示証拠説明責任記録に関する公開記録に役立つが、それだけで全ての内部管理質問に答えることはできないため、本記事はそれが実際に裏付けられる主張の証拠として扱う。
限界は事実と同じくらい重要である。重要な違いは、影響を受けるリリース、インストール、選択されたターゲット、およびフォローオン侵害の間にある。読者は、文が企業開示、規制当局、裁判所、顧客、技術研究者、またはセクター基準のいずれから来たのかを推測する必要があってはならない。情報源の種類が明確な場合、本記事はより劇的ではなく、より正確に述べることができる:記録が証明するものはこれ、示唆するものはこれ、証明されていないものはこれである。
同じ規律が是正を変える。唯一約束された修復が広範な保証である場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠に結び付けられている場合、例えば SolarWinds, 2021-03-01, Form 10-K(https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm)および GAO, 2022-01-13, 連邦レビュー(https://www.gao.gov/products/gao-22-104746)など、組織は日付、範囲、例外、テスト結果、残存依存関係を問われる可能性がある。それが風評回復と説明責任のある回復の違いである。
顧客は運用上のエクスポージャーに一致する警告を必要としていた
顧客は運用上のエクスポージャーに一致する警告を必要としていた点から始めるのが適切である。なぜなら、説明責任の問題はビルドシステムが侵害されたことだけではなく、リスク記述、管理主張、是正声明が確信言語ではなく検証可能な証拠に結び付けられていたかどうかであるからだ。SolarWinds Orion インシデントは、政府の対応、顧客への警告、証券訴訟、その後も公開セキュリティ声明の証拠の質をガバナンス問題として残した却下記録が続いた。したがって、公開説明責任の問いは、組織が困難なインシデントを経験したかどうかではなく、制御室の外にいる人々が何が変わったか、その変更を誰が制御したか、どのリスクが未解決のままかを理解するのに十分な証拠を見ることができたかどうかである。
SolarWinds North America, Inc. にとって、実際の管理面には、リスク声明、内部セキュリティ証拠、SEC の申し立てと却下姿勢、顧客への警告、ビルドの完全性、Secure by Design の約束、取締役会報告、公開是正証明が含まれていた。これらの言葉は、異なるチームと異なる証明義務を名指しする。セキュリティチームはログを保持するかもしれない、製品チームはリリースまたはプラットフォームの証拠を保持するかもしれない、法務チームは通知言語を管理するかもしれない、財務は損失見積もりを管理するかもしれない、顧客対応チームは影響を受ける人々が実際に使用できる説明を管理するかもしれない。説明責任は、それらの断片が別々の組織記憶として残されるのではなく、一つの記録に結合されるときに現れる。
このセクションの一つの情報源の境界は、CrowdStrike, 2021-01-11, 技術分析(https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/)である。これは、solarwinds セキュリティリスク声明、SEC 訴訟記録、開示証拠説明責任記録に関する公開記録に役立つが、それだけで全ての内部管理質問に答えることはできないため、本記事はそれが実際に裏付けられる主張の証拠として扱う。
限界は事実と同じくらい重要である。セキュア開発の主張は、外部の者がテストまたは少なくとも監査できる成果物に結び付けられなければならない。読者は、文が企業開示、規制当局、裁判所、顧客、技術研究者、またはセクター基準のいずれから来たのかを推測する必要があってはならない。情報源の種類が明確な場合、本記事はより劇的ではなく、より正確に述べることができる:記録が証明するものはこれ、示唆するものはこれ、証明されていないものはこれである。
同じ規律が是正を変える。唯一約束された修復が広範な保証である場合、次の取締役会や顧客はそれをテストできない。修復が情報源の証拠に結び付けられている場合、例えば CISA, 2020-12-13, 政府警告(https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software)および GAO, 2021-05-25, 議会証言(https://www.gao.gov/products/gao-21-594t)など、組織は日付、範囲、例外、テスト結果、残存依存関係を問われる可能性がある。それが風評回復と説明責任のある回復の違いである。
(以下のセクションは同様のパターンで翻訳:内部証拠の法的再話、取締役会報告のトレーサビリティ、政府対応の拡大、ソフトウェア保証の成果物証拠への移行、公開主張の情報源分離、投資家ファイルの申し立てと事実の区別、矛盾を保持する開示システム、残存不明点の定義、証拠マップとしての説明責任記録、読者証拠ファイル、取締役会レビュー質問)
