CISA Updates Zero Trust Maturity Model With Public Feedback
2023/04/12 InfoSecurity — 4月11日 (火) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、パブリックコメント期間中の推奨事項を盛り込んだ Zero Trust Maturity Model の第2版を発表した。このガイドラインの更新は、新しい国家サイバー・セキュリティ戦略を支援するための、連邦政府によるゼロトラスト・アプローチの促進を目的としている。
CISA はブログで、Zero Trust Maturity Model は、主として連邦政府機関を対象としているが、その他の組織もゼロトラスト・モデルへの取り組みを進めるために、この指針を検討すべきだと説明している。
CISA の Technical Director for Cybersecurity である Chris Butera は、「CISA は、ゼロトラスト・アーキテクチャを導入する際に、さまざまな段階にある政府機関を、指導することに注力してきた。この更新されたモデルは、多くのロードマップの1つとして、ゼロトラストの成熟度を高めるための方法論的なプロセスと移行を通じて、政府機関を導くものである。連邦政府民間機関に適用されるが、すべての組織がこのモデルを検討し利用することが、独自のアーキテクチャの実装において有益だと考えるだろう」と述べている。
この新しいモデルでは Initial という段階を追加し、Traditional/Initial/Advanced/Optimal という4段階を構成している。この Initial 段階は、ゼロトラスト成熟度モデルの5本の柱であるアイデンティティ/デバイス/ネットワーク/データ/アプリケーションとワークロードについて、それぞれの成熟度を確認するためのガイドとして設計されている。
また、Zero Trust Maturity Model Version 2 は、5本の柱にわたって段階的な実装ガイドラインを提供し、実装を促進することで、各機関が Zero Trust アーキテクチャの最適化に向けて、段階的な前進を遂げることができるようにしていり。
このところ、CISA といえば KEV (Known Exploited Vulnerability) というイメージが強いですが、そのほかの局面でも、随分と頑張っている感じがします。今日の Zero Trust Maturity Model の他にも。以下のような取り組みを進めています。よろしければ、ご参照ください。
2023/03/16:CISA の Secure Cloud Business Applications
2023/03/02:Decider というツール:MITRE ATT&CK をマッピング
2022/11/30:CISA Strategic Plan:防御から回復力へ舵を切る
2022/11/11:CISA が SSVC を公開:パッチの優先順位
IoT OT Security News 
You must be logged in to post a comment.