バイデン政権が最近発表したサイバーセキュリティに関する大統領令は、米連邦政府機関にとって転機となるものです。それは、政府のデータやシステムを確実に保護するための明確な指針となっています。
ゼロ・トラストへの関心が高まっている中での発令となりました。2月に国家安全保障庁が「ゼロ・トラスト」採択に向けた指針を発表して以降、その動きは活発化しています。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)はまた、最近、各機関の進捗状況を把握するための成熟度モデルを発表しました。
一方、国防省(DoD)は、今年後半にゼロ・トラスト・アーキテクチャ(ZTA)戦略を公表することを発表しました。また、DoDは、ZTAの範囲、ビジョン、目標を示す戦略文書を公表しています。
今こそ、連邦政府機関、さらには州や地方の機関が行動を起こすべき時であることは明らかです。FireEye Mandiantによって発覚したSolarWinds社とColonial Pipeline社へのゼロデイ攻撃は、サイバー攻撃の被害の高額化と壊滅的な影響を示しています。
大統領令の使命
このサイバーセキュリティ大統領令は、米国政府のセキュリティ防御を近代化することを目的としています。求められることは:
- 政府と民間部門との間の脅威情報の共有に関する障壁の排除
- 連邦政府におけるサイバーセキュリティ基準の近代化と強化の実施
- ソフト・ウェアサプライチェーン・セキュリティの向上
- サイバーセキュリティ安全審査会の設置
- サイバー・インシデントに対応するための標準的なプレイブックの作成
- 連邦政府のネットワークにおけるサイバーセキュリティ・インシデント検知の改善
- 調査・改善能力の向上
これらの点はすべて、ZTAを設立することで解決できます。NCCoE(National Cybersecurity Center of Excellence)およびNIST(National Institute of Standards and Technology)によると、ZTAは「すべてのユーザーを潜在的な脅威として扱い、ユーザーが適切に認証されてアクセスが許可されるまで、データやリソースへのアクセスを防止する。」要するに、ゼロ・トラスト・アーキテクチャは、ユーザーに完全なアクセスを許可しますが、業務を遂行するために必要な最低限のアクセスしか許可しません。万が一デバイスが侵害されても、ゼロ・トラストによって被害を最小限に抑えることができるとしています。
ZTAを実現するための3つのステップ
ZTAの導入には、多要素認証の導入から、ネットワークのマイクロセグメンテーションや脅威の自動検知まで、複数のステップがあります。
FireEye Mandiantは、政府機関がゼロ・トラストの成熟度において様々な段階にあることを認識しています。また、特に公共機関の多くがITセキュリティのスキル不足に直面しているように、企業が導入するのは大変なことだと理解しています。
以下の問いについて考えてみることをお勧めします:
- あなたの組織では、どのようなセキュリティ対策やソリューションをすでに実施していますか?一度立ち止まって考えてみてください。一からやり直す必要はありません。
- EOの要件を満たすために、すでに導入しているサイバー・セキュリティ・ソリューションを活用することはできますか?もしそうであれば、これらの投資は、ZTAロードマップにも適合する可能性が高いです。
- あなたの代理店と関係のある民間ベンダーの中で、彼らは、あなたのZTAの工程で役立つ知識と政府の専門知識を持っていますか?多くのプロバイダーがゼロ・トラスト関連のソリューションを提供していますが、政府機関特有のコンプライアンスやセキュリティの要件を把握していない場合があります。
次に、当社のホワイトペーパー「Zero Trust for Federal Government: A Guide to Achieving Improved Cybersecurity」をダウンロードしてください。ZTAとその検討事項について詳しく解説しています。
FireEye Mandiantは、ゼロ・トラストに関する議論の最前線にあり、私たちはより良いサイバーセキュリティへの道のりのために、お客様の組織を支援する準備ができています。
本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。
原文:July 26, 2021 「Clear Directive: Executive Order Adds Urgency to Zero Trust Adoption」
