CISA の Remote Access ガイダンス:連邦機関のネットワークを保護

CISA Releases Remote Access Guidance for Government Agencies

2021/10/11 SecurityWeek — 先週に、米国の States Cybersecurity and Infrastructure Security Agency (CISA) は、新しいガイダンス・である Trusted Internet Connections (TIC) 3.0 Remote User Use Case を発表した。

このドキュメントは、リモート・ユーザーによる内部リソースへのアクセスを維持しながら、連邦機関のネットワークを保護するための、ガイダンスの提供を目的としている。策定に関わったのは、Office of Management and Budget (OMB) および、Federal Chief Information Security Officer Council (FCISO) の Trusted Internet Connections (TIC) Subcommittee と General Services Administration とされている。

この TIC 3.0 Remote User Use Case は、2020年春に発表された TIC 3.0 Interim Telework Guidance に基づいており、OMB Memorandum M-19-26 に沿ったものであると、CISA は説明している。CISA によると、このドキュメントは、一般からのフィードバックを受けて最終化されたという。すでに同局は、受け取ったコメントの要約と修正内容を、TIC 3.0 の追加ガイダンスとともに発表している。

TIC 3.0 Remote User Use Case には、ユーザーの意識向上および、トレーニング、ドメイン名の監視、アプリケーション・コンテナ、リモート・デスクトップ・アクセスという、合計で4つの新しいセキュリティ機能が盛り込まれている。

TIC 3.0 Remote User Use Case では、物理的な敷地の外側から組織に所属するユーザーがネットワークに接続する際に、ネットワークおよびマルチバウンダリのセキュリティを適用する方法を定義している。たとえば、自宅やホテルで仕事をしている職員や、別の場所から接続している職員などが対象となる。

この Remote User Use Case には、組織が保護するケースとして、キャンパスへのリモートユーザーのアクセス、および、組織が承認したクラウドサービス・プロバイダーへのアクセス、Web へのアクセスという、3つのネットワーク・セキュリティ・パターンが含まれている。

このドキュメントには、「Remote User Use Case は、組織がアプリケーションのパフォーマンスを向上させながら、セキュリティ維持のスタイルを支援する。具体的には、プライベート・リンクの削減によるコストの削減し、政府機関が認可したクラウド・サービスや政府機関の内部サービスへのリモートユーザー接続を促進することで、ユーザー・エクスペリエンスを向上させる。さらに、組織がデプロイする追加オプションをサポートする」と解説されている。

このガイダンス、PDF をダウンロードしてみましたが、40ページ以上の力作という感じです。タイトルにもあるように、あくまでも連邦政府の各機関へ向けたものですが、その内容がオープンにされ、民間企業による参照も促され、セキュリティ・リテラシーの底上げが進んでいくはずです。なかなか、素晴らしい展開ですね。

%d bloggers like this: