新たに連邦政府のサイバーセキュリティ戦略が発表され、米国政府が今後2年以内に「ゼロトラスト」のセキュリティモデルを採用し、連邦機関全体のサイバーセキュリティの防御力を高めることを要望していることがわかりました。
この戦略は、ホワイトハウスの行政管理予算局(OMB)が発表したもので、米国の行政府全体における大統領のビジョンの実施を監督しています。
この大統領令により、ゼロトラストへの移行とサイバー攻撃に対する国の防御力の近代化に向けた政府全体の取り組みが開始されました。
この覚書は、連邦政府のゼロ・トラスト・アーキテクチャ(ZTA)戦略を定めたもので、各省庁に2024年度末までに特定のサイバーセキュリティ基準と目標を達成することを求め、ますます巧妙化する持続的な脅威キャンペーンに対する政府の防御力を強化するためのものです
これらの攻撃は、連邦政府の技術インフラを標的とし、国民の安全とプライバシーを脅かし、米国経済にダメージを与え、政府への信頼を弱めています
新しいゼロトラスト戦略の主な要素としては、
- 強力な多要素認証によるフィッシング防御の改善
- 機関のIDシステムの統合
- トラフィックの暗号化と内部ネットワークを信頼しないエリアとして扱う
- データを保護するためのアプリケーションセキュリティの強化
などがあります。
OMBの新しい連邦政府ゼロトラスト戦略は、以下のような連邦政府を想定しています。
- 連邦政府の職員は、企業が管理するアカウントを持ち、業務に必要なあらゆるものにアクセスできる一方で、標的を絞った巧妙なフィッシング攻撃からも確実に保護されている。
- 連邦政府職員が業務に使用するデバイスは一貫して追跡・監視されており、内部リソースへのアクセスを許可する際には、これらのデバイスのセキュリティ態勢が考慮されている。
- 連邦政府のシステムは相互に隔離されており、システム間やシステム内を流れるネットワークトラフィックは確実に暗号化されています。
- エンタープライズアプリケーションは、社内外でテストされ、インターネット経由で安全に職員に提供される。
- 連邦政府のセキュリティチームとデータチームが協力して、データカテゴリーとセキュリティルールを開発し、機密情報への不正アクセスを自動的に検出し、最終的にブロックしている
政府がゼロトラスト・セキュリティ原則に移行したのは、サイバーセキュリティ企業が何年も前からゼロトラスト・ネットワークモデルを推進してきた結果です。
このように最新のセキュリティ原則を継続的に推進してきた結果、2021年2月にNSAとマイクロソフトが大企業や重要なネットワーク(国家安全保障システム、国防総省、国防産業基盤)に対してこのセキュリティアプローチを推奨するに至りました。
ゼロトラストとは、侵入者がすでにネットワークにアクセスしていることを防御側が想定しているため、ローカルデバイスや接続は決して信用されず、すべてのステップで検証が必要となるセキュリティアプローチです。
このセキュリティモデルは、2010年にフォレスターリサーチ社のジョン・キンダーヴァーグが考案したもので、グーグルはオーロラ作戦で知的財産の一部が盗まれた後の2009年に、そのコンセプトの一部を社内プロジェクト(現在のBeyondCorp)に導入しています。
ますます巧妙化するサイバー脅威に直面して、政府は連邦政府のサイバー防御を強化するために断固たる行動をとっています。
このゼロトラスト戦略は、連邦政府が模範となることを保証するものであり、米国に危害を加えようとする者からの攻撃を撃退するための取り組みにおいて、新たな重要なマイルストーンとなるものです
Comments