米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)、英国立サイバーセキュリティーセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)、カナダサイバーセキュリティセンター(CCCS: Canadian Centre for Cyber Security)、ニュージーランド国立サイバーセキュリティセンター(NZ NCSC :New Zealand National Cyber Security Centre)、米国家安全保障局(NSA: National Security Agency)、アメリカ連邦調査局(FBI: Federal Bureau of Investigation)は5月11日(米国時間)、「Protecting Against Cyber Threats to Managed Service Providers and their Customers|CISA」において、マネージドサービスプロバイダー(MSP: Managed Services Provider)およびその顧客に対し、サイバーセキュリティを確保する上で役に立つ成功事例をまとめた勧告を共同で発表した。
サイバーセキュリティインシデントはさまざまな方法で引き起こされる。その一つに脆弱性が修正されないまま使われ続けているソフトウェアを悪用して社内ネットワークやシステムに侵入するというものがある。この手法を用いたサイバー攻撃に対しては、セキュリティアップデートが提供されているソフトウェアを使用するとともに、迅速にアップデートを適用することで、ある程度被害を緩和できることがわかっている。
しかし、実際にはアップデートされることのないソフトウェアが使われ続けるケースが多く、そこを侵入経路に利用されることが多い。こうした状況を鑑みてか、最近ではソフトウェアのアップデートを適切に行うことができない組織に対しては、マネージドサービスプロバイダー(MSP: Managed Services Provider)の提供するサービスの利用を検討するように、セキュリティ当局らがアドバイスを行うケースが増えている。
マネージドサービスプロバイダーの提供するサービスは、マネージドサービスプロバイダーがソフトウェアのアップデートを行うため、ユーザー側の管理の手間が軽減され、かつ、迅速なソフトウェアのアップデートが期待できるというメリットがあると考えられている。
多くの企業がマネージドサービスを利用するようになってきたため、サイバーセキュリティ攻撃の対象としてマネージドサービスプロバイダーが選択されるケースも増えている。今回、CISAをはじめ、各国サイバーセキュリティ当局が共同でアラートを発行した背景には、こうしたマネージドサービスプロバイダーを標的としたサイバーセキュリティ攻撃の増加があるとみられる。
マネージドサービスプロバイダーがセキュリティ対策を適切に実施することはもちろんだが、ユーザーがマネージドサービスプロバイダーを選定する際に、対象となるマネージドサービスプロバイダーが適切なサービスおよび運用を提供しているかを判断することも必要になる。
共同で発行されたアラートにはマネージドサービスプロバイダーのみならず、そのユーザーが利用できるアドバイスもまとまっており参考になる。今後、マネージドサービスプロバイダーを標的としたサイバーセキュリティ攻撃は増加すると見込まれており、こうしたアラートを定期的に確認し、認識や対策方法を更新することが望まれる。