ナショナル・セキュリティを改善する大統領令:2021年11月までの進捗を評価してみる

Update on the Executive Order on Improving the Nation’s Cybersecurity

2021/12/09 SecurityBoulevard — サイバー・セキュリティに関する新たな大統領令は、いつも前向きな行動と期限が決められている。バイデン政権は、SolarWinds や Colonial Pipeline への攻撃を受けて、国家のサイバー・セキュリティを向上させるための EO (Executive Order) を発表した。その主な内容は、連邦政府機関全体での MFA/ZeroTrust/EDR の実施を呼びかけるものだった。また、Cyber Safety Review Board も設立された。

2021年5月12日のサイバー・セキュリティ大統領令では、47件の行動項目とそ、れに伴う期限が定められている。これらの期限は14日間から1年間の範囲で定められ、いくつかの継続的な報告を求めるもの含まれる。2021年11月8日の時点で、37件については期限が過ぎている。すべてのタスクと期限を、Google シートで一覧できるようにした。コメントや提案があれば、メールで知らせてほしい。

最初の締め切りは、2021年5月26日だった。この大統領令の第 8b 項では、国土安全保障省 (Department of Homeland Security) の長官から行政管理予算局 (OMB: Office of Management and Budget) の局長に対して、政府機関のシステム/ネットワーク内のイベントの記録と、関連データの保持に関する、要件の勧告を提供するよう求めた。それは実現したのだろうか?また、その要件とはなんだっのか?

深く読むと、すべてのログデータを暗号化する方法や、ログデータを CISA などで利用可能にすることなどが提言されている。このようなシステムを、2週間で設計できる賢い人を何人か知っている。しかし、そのような人たちが2人で作業をするなら、少なくとも6週間はかかるだろう。何を記録するか、どのように暗号化するか、どのように暗号化されたデータを使用するか、特定のグループと共有する方法を考えるワーキング・グループが設立されると、少なくとも1年はかかるだろう。

2021年8月27日に OMB は、ログ取得に関する段階的な要件についてのメモを発表した。これは、4つのイベント・ロギング (event logging) の階層にわたる、要件の実装を導くための成熟度モデルを確立するというものだ。

次の重要な期限は、DHS の長官が、ホストレベルの可視化/帰属/対応をサポートするために、集中的に配置された EDR イニシアチブを実装するための、オプションに関する提言を OMB 長官に提供することだった。その期限は、2021年6月11日だった。
2021年10月8日に、この要件についても OMB は覚書を発表した。それは、連邦政府機関に対する要求である。

  • 90日以内に、各機関は CISA に対して、現状のエンタープライズ EDR (Endpoint Detection and Response) の状況へのアクセスを提供すること。また、CISA と協力して将来の目標における選択肢を特定すること。
  • 90日以内に、各機関における EDRソリューションが、一般的な脅威を検出して対応するレベルで展開/運用されていることを確認できるようにするために、CISA は継続的なパフォーマンス・モニタリングのプロセスを開発する。
  • 90日以内に、CISA は CIO 協議会と連携して、政府全体の EDR の取り組みを、さらに加速させる方法について、OMB に提言を行う。
  • 90日以内に、CISA は CIO 協議会と連携して、政府機関での利用を目的とした技術的なリファレンス・アーキテクチャと成熟度モデルを開発/公開する。
  • 180日以内に、CISA は CIO 協議会と連携して、政府全体の運用上の可視性を実現するために、EDR ソリューション展開のベストプラクティスのプレイブックを作成する。

    2021年6月26日には、商務省の長官に対して、国立標準技術研究所 (NIST) と協力して、「重要なソフトウェア」という言葉の定義を公表せよと求められた。NIST は 2021年6月24日に発表行い、2021年10月13日に更新した。その定義は、ここで読むことができる。しかし、少し理解しづらいものとなっている。私の理解では、アクセス権限を持ち、ネットワークに接続する、すべてのソフトウェアが含まれることになる。つまり、デスクトップの電卓以外の、すべてのソフトウェアが対象となる。

    OMB は 2021年8月10日に、このメモランダムを発行し、政府機関の要件を明示した。

    重要なソフトウェアの使用に関する、NIST のガイダンスの政府全体への導入は、段階的なアプローチを通じてリリースされる。最初の導入段階では、政府機関はスタンドアロン型のオンプレミス・ソフトウェアに焦点を当てる必要があるが、それらのソフトウェアは、セキュリティ面で重要な役割を担うものや、侵害された場合に深刻な被害を受けるものとなる。

    このようなソフトウェアには、以下のカテゴリーのサービスを提供するアプリケーションが含まれる。
  • アイデンティティ/クレデンシャル/アクセス管理 (ICAM)
  • オペレーティングシステム/ハイパーバイザー/コンテナ環境
  • Web ブラウザ。
  • エンドポイント・セキュリティ
  • ネットワーク制御
  • ネットワーク保護
  • ネットワークの監視と設定
  • 運用監視/分析
  • リモートスキャン
  • リモートアクセスと構成管理
  • バックアップ/リカバリ/リモートストレージ

    SolarWinds のソフトウェアは、間違いなく重要であると考えられていることが分かると思う。

    これらの、いくつかの例を見ると、サイバー・セキュリティに関する大統領令を受け、それに準拠するための大規模な取り組みが、タイムリーに始まったように見える。OMB から発表された一連の新しい要求事項に、各省庁が迅速に対応し、CISA が与えられた任務をこなせるなら、連邦政府のサイバー・セキュリティは劇的に改善されることになる。

    それが意味するところは明らかだ。サイバー・セキュリティに対する政府の支出は劇的に増加するだろう。MFA/ZeroTrust/EDR の各ソリューションを提供するベンダーは、政府と契約できる資格を得るために、自らの立場を確立していれば、きわめて有利になる。

    次回は、Cyber Safety Review Board の進捗状況を確認していく。

バイデン政権での関連トピックとしては、5月12日の「バイデン政権は大統領令によりサーバー・セキュリティ防御を強化する」や、10月1日の「バイデン米国大統領:30カ国が連携してサイバー攻撃を阻止していく」、11月15日の「米バイデン大統領が 2000 億円規模のサイバー・インフラ法案に署名」があります。他にも、さまざまなニュースソースがあるはずで、それらを Security Boulevard がまとめて、この記事にしたのでしょう。次回の Cyber Safety Review Board も楽しみです。

%d bloggers like this: