Microsoft と NIST が EO で協力してゼロ トラストの採用を推進

2020 年のノーベリウム攻撃は、政府と民間部門の両方に衝撃を与えました。 2021 年には、重要なインフラストラクチャに対する大規模なランサムウェア攻撃²とともに、Hafnium ¹などの大規模な国家攻撃がすでに発生しています。これらの攻撃の幅広さと大胆さは、悪意のある攻撃者が抑止されるどころか、ますます厚かましく巧妙になっていることを示しています。米国の国家安全保障を守るために、ホワイトハウスは 2021 年 5 月 12 日に、国家のサイバーセキュリティの改善に関する大統領令 (EO) 14028 を発行しました³ 。この EO は、悪意のあるサイバー脅威から保護するために「多額の投資」を義務付けています。

「連邦政府は、クラウドベース、オンプレミス、またはハイブリッドのいずれであっても、そのコンピューター システムを保護および保護するために、その権限とリソースの全範囲を負担する必要があります…セキュリティには、データを処理するシステム (情報技術 (IT) )) と、私たちの安全を確保する重要な機械を動かすもの (運用技術 (OT)) です。」

大統領令 14028 はまた、「民間部門は、絶えず変化する脅威環境に適応し、その製品が安全に構築および運用されることを保証し、連邦政府と提携してより安全なサイバースペースを促進する必要がある」と述べています。

EO のセクション 3 では、連邦政府機関がゼロ トラスト アーキテクチャを採用する計画を作成する必要がありました。このブログ投稿では、Microsoft がこれらの指令を満たすためにゼロ トラストの実装をどのように支援し続けているかについて説明します。

Microsoft は EO 14028 の実装をどのように支援していますか?

The National Institute of Standards and Technology (NIST) は、大統領令14028 で概説されているサイバーセキュリティの標準と要件の作成を認可された機関の 1 つです。 NIST SP 800-207、ゼロ トラスト アーキテクチャに記載されている原則と原則に沿ったゼロ トラスト アーキテクチャを設計および構築するための実用的で相互運用可能なアプローチを開発すること。 NCCoE の官民パートナーシップは、標準とベスト プラクティスを適用して、市販のテクノロジを使用して、モジュール式で簡単に適応できるサイバーセキュリティ ソリューションの例を開発します。

ロードマップの実行に必要なテクノロジの多くは、多くの機関で既に導入されています。必要なのは、既存の機能を有効にして微調整することだけです。この目的のために、Microsoft は政府機関が EO 14028 に向けて構築すべき最も影響力のある 5 つのシナリオを特定しました。これらの参照アーキテクチャは、 エンドポイントの検出と応答(EDR)、 多要素認証などの他の EO の優先事項を含めながら、ゼロ トラストの主要な NIST 要件に対応しています。 、および継続的な監視。

• シナリオ 1: クラウド対応の認証アプリ:多くの機関は、 Office 365の ID 構成に関するベスト プラクティス アプローチを使用し、強力な多要素認証を実装し、 条件付きアクセスを使用して要件を適用することにより、サービスとしてのソフトウェア (SaaS) の安全なベースラインに向けて既に進んでいます。ポリシー。この作業は、他の SaaS アプリケーションやカスタム クレーム ベースのアプリケーションに簡単に拡張できます。
• シナリオ 2: レガシ認証を使用する Web アプリ:最新の認証用に簡単に書き直すことができないアプリケーションの場合、機関はAzure Active Directory (Azure AD) アプリケーション プロキシを使用できます。このアーキテクチャは Azure AD 基盤上に構築され、ゼロ トラストをレガシ システムに拡張します。アプリケーション プロキシは、送信専用の接続と、VPN ソリューションよりもはるかに制限されたアクセスも提供します。
• シナリオ 3: リモート サーバー管理:強力に認証された管理者アカウントと特権アクセス ワークステーションを階層化することで、安全なリモート管理を簡素化します。これにより、攻撃対象領域が減少し、 Azure AD条件付きアクセスを介したサーバー管理のために多要素認証と許可リストに登録された管理デバイスを要求することで、認可されていないサーバー間の管理が防止されます。その結果、マルチクラウドおよびハイブリッド サーバーの管理が高水準で保証されます。
• シナリオ 4: セグメント化されたクラウド管理:この設計パターンにより、機関は、分離された専用のセグメント化された管理者アカウントから Microsoft および Microsoft 以外のワークロードを管理できます。このパターンが実装されたら、監査制御も導入して、権限のセグメンテーションが引き続き有効であることを確認する必要があります。
• シナリオ 5: ネットワークのマイクロセグメンテーション:政府機関は、セキュアなコントロール プレーンとデータ プレーンの両方を実現するために、複数レベルのセグメンテーションを確立する必要があります。 Azure のネイティブ機能により、機関は一貫したマイクロセグメンテーション戦略を適用して、脅威から保護し、詳細な防御を実装し、ポリシーを適用した継続的な監視を詳細なレベルで実現できます。

EO 10428 におけるゼロ トラストの役割は何ですか?

Microsoft のセキュリティ、コンプライアンス、および ID 担当コーポレート バイス プレジデントである Vasu Jakkal は、最近、世界を保護する上でのゼロ トラストの重要な役割について概説しました。彼女のブログ投稿で、彼女は EO 14028 のセクション 3 に言及し、連邦政府が「サイバーセキュリティへのアプローチを近代化する」ための「決定的な措置」を求めていることに言及しています。データのエンドツーエンド暗号化。

EO 14028 のセクション 3(b)(ii) では、政府機関は「ゼロ トラスト アーキテクチャを実装するための計画を策定し、必要に応じて、米国国立標準技術研究所 (NIST) が国務省内で行っている移行手順を組み込む必要がある」と概説しています。商取引は、標準とガイダンスで概説し、すでに完了したそのような手順を説明し、セキュリティに最も直接的な影響を与える活動を特定し、それらを実装するスケジュールを含めています。」

マイクロソフトは、ゼロ トラスト戦略がサイバーセキュリティのベスト プラクティスとして認められたこと、および民間部門が EO ガイドラインと同じ方向で「野心的な措置」を講じるようホワイトハウスが奨励したことを称賛します。

NCCoE には何が期待できますか?

「テレワークの波と、サイバーセキュリティ侵害やランサムウェア攻撃の増加により、ゼロトラスト アーキテクチャの実装が連邦政府の義務であり、ビジネス上の必須事項となっています。 Microsoft などのプロジェクト協力者と協力して、情報に基づいた技術的な「ハウツー」ガイダンスとゼロ トラスト アーキテクチャの実装例をタイムリーに提供し、連邦機関やその他の業界セクターのゼロ トラストへの取り組みを支援できることを楽しみにしています。」—ケビンStine 氏、国立標準技術研究所の情報技術研究所 (ITL) の応用サイバーセキュリティ部門の責任者

提案されているサンプル ソリューションは、商用製品とオープンソース製品を統合して、一般的なエンタープライズ IT ユース ケースに適用した場合のゼロ トラスト アーキテクチャの堅牢なセキュリティ機能を紹介します*。これは、市販のテクノロジを使用して設計および展開され、NIST SP 800-207、ゼロ トラスト アーキテクチャに記載されている概念と原則に準拠しています。

サンプル ソリューションは、NIST Special Publication (SP) 1800 シリーズ ドキュメントで公開されます。 SP 1800 シリーズの各出版物は、通常、標準ベースのサイバーセキュリティ技術を現実の世界で実装および適用するための「ハウツー」ガイドとして機能します。このガイドは、組織がサイバーセキュリティ テクノロジを効率的に実装できるようにすると同時に、研究と概念実証のコストを節約できるように設計されています。

この SP 1800 シリーズの出版物は、以下を提供します。

• 詳細なサンプル ソリューションと機能。
• 複数の製品を使用して同じ最終結果を達成する方法を示します。
• あらゆる規模の組織に対する機能の実装に関するモジュール式のガイダンス
• 組織がソリューションを簡単に複製できるように、必要なすべてのコンポーネントと、インストール、構成、および統合に関する情報。

その他のリソース

連邦政府機関に対する継続的なサポートの一環として、Microsoft の最高技術責任者である Jason Payne は、 連邦政府機関に推奨される次のステップを概説しました。また、NIST 標準にマッピングされた主要なゼロ トラスト シナリオ アーキテクチャのダウンロード可能な PDF と、ダウンロード可能な PDFゼロ トラスト ラピッド モダナイゼーション プランも提供しています。これらのリソースは、政府機関が積極的な EO タイムラインに対応し、ベースラインのサイバーセキュリティ体制を改善するための具体的な手順を提供します。 NCCoE ゼロ トラスト アーキテクチャ プロジェクトの概要については、ゼロ トラスト アーキテクチャ プロジェクトの実装のファクトシートをダウンロードできます。

その他の Microsoft リソースには次のものがあります。

• ダウンロード可能なゼロ トラスト成熟度モデル: Microsoft がどのようにゼロ トラストを定義し、アイデンティティ、エンドポイント、アプリケーション、ネットワーク、インフラストラクチャ、およびデータにわたるソリューションを分類するかについて詳しく説明します。
• ゼロ トラスト評価ツール: ゼロ トラストへの取り組みにおける組織の進捗状況を評価し、次のステップへの提案を提供します。
• ゼロ トラスト ガイダンス センター: ゼロ トラストの原則を実装するための段階的なガイダンスと、展開、統合、および開発に関する技術的なガイダンスを提供します。

EO 14028 に関する Microsoft からの継続的な更新に注意してください。Twitter およびLinkedInで@NISTおよび@NISTCyber をフォローしてください。

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

¹新しい国家のサイバー攻撃、Tom Burt、マイクロソフト セキュリティ、2021 年 3 月 2 日。

²Turning Up The Heat: A Ransomware Attack on Critical Infrastructure Is a Nightmare Scenario 、Richard Tracy、Forbes Technology Council、Forbes、2021 年 7 月 20 日。

³大統領が国家のサイバーセキュリティを改善し、連邦政府のネットワークを保護するための新しいコースを作成する大統領令に署名 、ホワイトハウス、2021 年 5 月 12 日。

*NIST は、このコンソーシアムの下で商用製品を評価せず、使用される製品またはサービスを保証しません。このコンソーシアムに関する追加情報は、こちらでご覧いただけます。