ホワイトハウスから連邦政府組織への要求:ゼロトラスト・モデルを2年で採用せよ

White House wants US govt to use a Zero Trust security model

2022/01/26 BleepingComputer — 新たに発表された連邦政府の戦略では、米国政府が今後2年以内に「ゼロトラスト」のセキュリティ・モデルを採用し、連邦政府機関全体のサイバー・セキュリティの防御力を高めることが求められている。この戦略は、今日に Office of Management and Budget (OMB) が発表したものであり、米国の行政府全体で大統領のビジョンの実施を監督していくとされる。今日の発表は、米国の大統領令 (EO) 14028に促されたものであり、また、2021年9月に発表されたドラフトに続くものとなる。

この大統領令により、ゼロトラストに向けた移行が始まり、サイバー攻撃に対する国家の防御を近代化するための、政府全体の取り組みが推進されている。OMB の Acting Director である Shalanda D. Young は、「この覚書は、連邦政府のゼロトラスト・アーキテクチャ戦略を定めたものであり、各省庁に対して 2024年度末までに、特定のサイバー・セキュリティ基準と目標の達成を求めることで、ますます巧妙化する持続的な脅威キャンペーンに対する政府の防御力を強化する」と述べている。(PDF)

Young は、「一連の攻撃キャンペーンは、連邦政府の技術インフラを標的とし、国民の安全とプライバシーを脅かし、米国経済にダメージを与え、政府への信頼を弱めている」と付け加えている。

新しいゼロトラスト戦略の主な要素としては、強力な多要素認証によるフィッシング防御の改善/組織の ID システムの統合/トラフィックの暗号化と内部ネットワークの非信頼扱い/データ保護を改善するためのアプリケーション・セキュリティの強化などが挙げられている。OMB による、新しいゼロトラスト戦略は、以下のような連邦政府を想定している。

  • 連邦政府の職員は、エンタープライズ・マネージド・アカウントを持ち、業務に必要なあらゆるものにアクセスできる一方で、標的を絞った巧妙なフィッシング攻撃からも確実に保護される。
  • 連邦政府職員が業務に使用するデバイスは、一貫して追跡/監視され、内部リソースへのアクセスが許可される際には、これらのデバイスのセキュリティ態勢が考慮されている。
  • 連邦政府のシステムは相互に隔離されており、システム間やシステム内を流れるネットワーク・トラフィックは確実に暗号化されている。
  • エンタープライズ・アプリケーションは、社内外でテストされ、インターネット経由で安全に職員に提供される。
  • 連邦政府のセキュリティチームとデータチームが協力して、データ・カテゴリーとセキュリティ・ルールを作成し、機密情報への不正アクセスを自動的に検出し、最終的にはブロックする。

    米政府がゼロトラスト・セキュリティ原則に移行したのは、何年も前からサイバー・セキュリティ企業がゼロトラスト・ネットワーク・モデルを推進してきた結果である。このように、最新のセキュリティ原則を継続的に推進してきた結果、2021年2月には NSA と Microsoft が、大企業や重要なネットワーク (国家安全保障システム/国防総省/国防産業基盤) に対して、このセキュリティ・アプローチを推奨するに至った。

    ゼロトラストでは、すでに侵入者がネットワークにアクセスしていると防御側が想定しているため、ローカルなデバイスや接続は決して信用されず、すべてのステップで認証が必要となるというセキュリティ・アプローチだ。このセキュリティ・モデルは、2010年に Forrester Research の John Kindervag が考案したものだ。Google は、Operation Aurora で知的財産の一部が盗まれた後の 2009年に、そのコンセプトの一部を社内プロジェクト (現在の BeyondCorp) に導入している。

    Shalanda D. Young は、「ますます巧妙化するサイバー脅威に直面して、ホワイトハウスは連邦政府のサイバー防御を強化するための断固たる行動をとっている。このゼロトラスト戦略は、連邦政府が模範となることを保証するものであり、米国に危害を加えようとする者からの攻撃を撃退する取り組みにおいて、重要で新たなマイルストーンとなるものだ」と述べている。

Linksこれまでのバイデン政権ですが、2021年5月の「バイデン政権は大統領令によりサーバー・セキュリティ防御を強化する」から始まり、6月の「NIST が示す政府機関のためのセキュアなサプライチェーンとは?」、10月の「米国のランサムウェア報告法案:48時間以内に身代金支払い情報の提供を義務付ける」、11月の「米バイデン大統領が 2000 億円規模のサイバー・インフラ法案に署名」、2022年1月の「ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題」という具合に、着々と歩みを進めてきました。そして、ついに、ゼロトラストに向けた移行が始まるとのことです。日本も含めて、他の国々のモデルになると良いですね。他にも、いろいろとあるので、バイデンで検索も ご利用ください。

%d bloggers like this: