米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CISA内部のAmazon AWS GovCloudキーおよびその他の情報が公開リポジトリで閲覧可能になっていた問題への対応について、詳細を明らかにしました。
この発表は、GitGuardianのセキュリティ研究者が、複数の高権限AWS GovCloudアカウントおよび多数のCISA内部システムの認証情報を公開していたGitHubリポジトリを発見したとKrebsOnSecurityが5月に報じたことを受けたものです。
問題のGitHubリポジトリはCISAの公式GitHubの一部ではなく、契約業者個人が所有するリポジトリでした。
CISAは6月9日に公開した最新情報の中で、次のように述べています。「この情報を受け取った直後から、CISAの最高情報責任者室(OCIO)はCISAのクラウドリソースおよびコードリポジトリへの露出を軽減するため、迅速かつ包括的な対応を取りました」
CISAの内部インシデント対応は5月15日に開始されました。
同庁のインシデント対応担当者が取った対策には、公開露出の解消、被害拡大の防止、共有された情報の範囲の把握、影響の評価、是正措置の実施などが含まれます。
顧客データやミッションデータの流出はなく、漏洩した認証情報がCISAの環境外で使用されることもなかった点が強調されています。
この第三者は、クラウドインフラを自律的に構築する目的で、CISAのビルド・デプロイ用リポジトリのコピーを自身の個人GitHubアカウントにアップロードしていました。このリポジトリには、CISAのInfrastructure as Codeやビルドコードが含まれていました。
セキュリティ関連の指摘は真摯に受け止めるべき
今回のインシデントを振り返り、同庁はサイバーセキュリティに関する指摘や外部からの報告を真摯に受け止めることが極めて重要だと述べています。CISAは協力してくれたセキュリティ研究者と記者に謝意を表しました。
CISAはまた、システムや開発環境を保護するためにゼロトラストの原則を導入する必要性が今回のインシデントで浮き彫りになったとも述べています。
さらに、強固なロギング機能の重要性も強調されました。CISAのSOCは今回のインシデントを調査するために必要なログを保有しており、ロギング機能の継続的な改善は強固なセキュリティプログラムの重要な要素であり続けるとしています。
CISAによれば、今回のインシデントでは、公開コードリポジトリへのアクセス管理の強化、流出した機密情報を検知する監視体制の強化、GitHubおよびクラウド関連インシデント対応の包括的なプレイブックの整備など、複数の改善すべき領域が浮かび上がったといいます。
同庁はまた、セキュリティ研究者向けの報告経路を簡素化する計画も進めています。今回のケースでは、この経路が「明確に定義されていなかった」ため、当該セキュリティ研究者は複数の経路を通じて連絡を試みる結果となりました。
具体的には、契約業者へのメール送信、CISAの脆弱性開示プラットフォーム(本来はより広範なサイバーセキュリティコミュニティに影響する脆弱性向けのもの)への報告、そして最終的には記者を巻き込む形での報告が行われました。
最後にCISAは、開発者環境におけるセキュリティガードレールの強化と、暗号鍵管理の改善に取り組む方針も示しました。これにより、今後インシデントが発生した際により迅速な認証情報のローテーションが可能になるとしています。
CISAは次のように記しています。「サイバーセキュリティインシデントが組織に発生するかどうかではなく、いつ発生するかが問題です。私たちがこうした問題にオープンに向き合うことは、より広いサイバーセキュリティコミュニティにとって、信頼を強化し透明性を育む上で重要です。こうした透明性は、CISA自身のセキュリティ態勢だけでなく、他の組織のセキュリティ態勢の向上にもつながる学びの機会を切り開くものです」
CISAは同庁のLinkedInチャンネルでもこの最新情報を公開しており、あるコメント投稿者は、インシデント対応における強みと課題の両方を文書化しようとする同庁の姿勢を評価しています。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-incident-response-exposed-aws/