連邦政府のゼロ トラスト戦略と Microsoft のすべての展開ガイダンス

2022 年¹月 26 日の連邦政府のゼロ トラスト戦略に関するホワイトハウスの発表を見逃すことは許されるでしょう。 、そして国務省は国際的な緊張を和らげるのに忙しかった。

夕方のニュースにならなかったとしても、セキュリティに関する発表は、ゼロ トラスト モデルの重要性を理解し、ゼロ トラスト モデルの実装に懸命に取り組んでいるすべての人々にとって重要なマイルストーンです。ある技術に対する政府の支援が採用を促進することは周知の事実です。GPS、インターネット、または電子医療記録を使用している人に聞いてみてください。 ²ゼロ トラストに対する米国連邦政府のサポートも同様です。行政管理予算局 (OMB) は、数千万の新しいエンドポイントの採用曲線を加速させ始めています。

米国連邦行政機関には 225 万人のフルタイム相当の従業員がおり、郵便局員やその他の司法機関、立法機関、制服を着た軍機関の職員を含めると 430 万人に相当します。 ³これらには多くのフロントライン ワーカーも含まれます。これについては、ブログ記事「適切な管理テクノロジを使用してフロントライン ワーカーの負荷を軽減する」で説明する重要なセキュリティ トピックです。米国連邦政府はまた、州および地方政府の技術政策の方向性を定めており、準拠を求められる連邦政府のサプライヤーを数え始める前に、さらに 1,970 万人の労働者が追加されています。 ⁴エンドポイントあたり 1 人の従業員の比率でも (個人のデバイスや IoT では比率が高くなる可能性があります)、海外政府によるエンドポイント戦略の更新を考慮せずに、私たちは何千万ものエンドポイントを見ています。ゼロ トラスト ガバナンスの原則。

覚書のプレス リリース、 Office of Management and Budget Releases Federal Strategy to Move the US Government Towards the Zero Trust Architectureをお読みになることをお勧めします。

ここに私の3つのポイントがあります：

1. ゼロトラストは今やあらゆる組織に関連しています。
2. リーダーシップの調整は、ゼロ トラスト アジェンダを推進する上での最大の障害です。
3. ゼロ トラスト アーキテクチャには、全体論的で統合された思考が必要です。

ゼロ トラストはあらゆる組織に関連するようになりました

ハイブリッド ワーク、クラウドへの移行、脅威の増加により、ゼロ トラストはすべての組織に関連するようになりました。

ゼロ トラストの概念は新しいものではありません。この用語は、2010 年に当時の Forrester のアナリストである John ^Kindervagによって最初に造られました。システムとデータ。 Log4j の脆弱性は、攻撃者が足を踏み入れる新たな機会を探し続けることを示す最新の証拠です。」

しかし、2021 年のゼロ トラスト導入レポートでは、ゼロ トラスト戦略を完全に実装したと主張している組織は 35% にすぎません。

ゼロ トラストは現在、2 つの理由からすべての組織にとって重要な意味を持っています。まず、リモート ワークへの移行とそれに伴うクラウドへの移行が定着しています。 ^Gartner®は、ナレッジ ワーカーの 47% が 2022 年にリモートで働くと推定しています。今日のセキュリティ ソリューションは、エンドポイントが境界防御セットアップの外にあり、それに応じて調整される可能性があるという事実から始める必要があります。第二に、サイバー脅威は増加し続けています。米国連邦政府は Log4j の欠陥に言及しましたが、Kaseya、SolarWinds、またはその他の最近の混乱についても同様に言及できたはずです。 2021 年の IBM レポートによると、100 万から 1000 万件のレコードの漏えいの平均総コストは 5,200 万米ドルであり、5,000 万から 6,500 万件のレコードの大規模な漏えいでは 4 億米ドル以上の費用が企業にかかります。 ⁷

米国連邦政府は、ゼロ トラストが現在の時代に不可欠であることを示しています。ゼロ トラストでは、顧客はファイアウォールやネットワーク境界を超えて考え、それらの境界内からの侵害を想定する必要があります。

リーダーシップの調整は、ゼロ トラスト アジェンダを推進する上での最大の障害です

2 つ目のポイントは、組織がゼロ トラストで適切な進歩を遂げるには、リーダーシップの連携が重要であるということです。

OMB では、すべての機関が 30 日以内にゼロ トラスト戦略の実装リーダーを指名する必要があります。さらに、 覚書には次のように記載されています。政府機関のリーダーシップと「経営幹部」全体が連携し、政府機関のセキュリティ アーキテクチャと運用のオーバーホールに取り組むことが重要です。」要するに、これは単に IT 部門に引き継がれ、二度と考えられることのない技術的な問題ではありません。ゼロ トラストでは、少なくとも経営幹部の関与が必要であり、セキュリティ侵害に伴うリスクを考慮すると、取締役会による監視も必要です。

ゼロ トラスト導入の障壁を探る当社のゼロ トラスト導入レポートでも、リーダーシップの連携が強調されました。 53% がこれを障壁として挙げており、経営幹部、利害関係者、またはより広範な組織のサポートをカバーしています。採用に対するその他の主な障壁には、変更管理などの分野でのスキル不足や、実装にかかる時間を維持できないなど、限られたリソースが含まれていました。たとえば、(ISC) による 2020 年の年次サイバーセキュリティ労働力調査²によると、米国だけで 359,000 人を含む 310 万人のサイバーセキュリティ労働者が依然として不足しています。 ⁸これに関連して、調査回答者の 10 人中 4 人が予算の制約に言及しています。リーダーシップの調整、限られたリソース、および予算を予測し、積極的に対処することが、テクノロジの選択に関係なく、ゼロ トラスト アーキテクチャをより広範に展開するための鍵となります。

ゼロ トラスト アーキテクチャには、全体論的で統合された思考が必要です

ゼロ トラスト アーキテクチャの考え方は、単にスイッチを切り替えるというよりも、オーケストラを指揮することに似ています。米国連邦政府の計画には、ID ( 多要素認証とユーザー承認を含む)、デバイス (エンドポイントの検出と応答を含む)、ネットワーク (ドメイン ネーム システム、HTTP、電子メール トラフィックの暗号化を含む)、アプリとワークロード、およびデータが含まれます。これは、サイロで、または迅速に実行できるプロジェクトではありません。実際、OMB は連邦機関に次のように求めています。「この覚書の日付から 60 日以内に、機関は、この文書で特定された追加の要件を組み込み、OMB およびサイバーセキュリティ & インフラストラクチャ セキュリティ機関 (CISA) に実装計画を提出することにより、これらの計画に基づいて構築する必要があります。 22 年度から 24 年度の OMB の同意、および 24 年度の予算見積もり。

Microsoft と米国連邦政府のゼロ トラスト フレームワークは非常に似ています。それらは 5 つのカテゴリに重なっています。 Microsoft はネットワークとは別にインフラストラクチャを呼び出しますが、OMB のメモは 2 つを組み合わせたものです。ゼロ トラストについて考えるとき、組織は次のことを考慮する必要があります。

1. ID と認証: ID を侵害から保護し、多要素認証を含むリソースへのアクセスを保護します。
2. エンドポイントとデバイス: エンドポイントを保護し、準拠した信頼できるデバイスのみがデータにアクセスできるようにします。
3. アプリケーション: アプリケーションが利用可能で表示されていることを確認し、重要なデータを保護します。
4. データ: 機密データがどこにいてもどこに移動しても保護します。
5. ネットワーク: ネットワークから暗黙の信頼を取り除き、ラテラル ムーブメントを防ぎます。
6. インフラストラクチャ: 脅威を検出し、リアルタイムで対応します。

これらの柱を強調するのは、全体像を可能にする一元化された可視性です。すべてのアプリとエンドポイントがどのように展開されているか、およびセキュリティの問題があるかどうかを確認できることは、ゼロ トラスト ポスチャの維持と設定に不可欠です。エンドポイント管理ソリューションは、セキュリティ ポリシーの中央リポジトリと、エンドポイントが準拠しなくなった場合にそれらのポリシーを適用する場所を提供します。ソリューションは、Windows、macOS、iOS、Android、Linux のいずれであっても、すべてのプラットフォームで組み込みの暗号化を有効にする必要があります。同様に、統合されたエンドポイント管理により、ネットワークの種類に関係なく、ゼロ トラストへのネットワーク ジャーニーが容易になります。ゼロ トラストでは可視性が重要であり、効果的なエンドポイント管理はそれを実現するための主要な要素です。

出発点の選択

ゼロ トラストと継続的な可視性のための一貫したフレームワークを持つことは、良い出発点です。とはいえ、組織にゼロトラストの実装をどこでどのように開始するかという問題には答えていません。その答えは、すべての組織に固有のものです。ゼロ トラストに万能のアプローチはありません。組織によって開始点が異なる場合がありますが、 Microsoft 365 ゼロ トラスト展開計画は、ゼロ トラストを導入するための実用的なガイドをすべての組織に提供します。

展開計画には 5 つのステップがあり、組織がゼロ トラスト アーキテクチャを実装するのに役立ちます。

1. ゼロ トラストの基盤を提供するために、ゼロ トラスト ID とデバイス アクセス保護を構成します。
2. デバイスを管理ソリューションに登録して、エンドポイントを管理します。
3. これらのデバイスにゼロ トラスト ID とデバイス アクセス保護を追加します。
4. Microsoft 365 Defender を評価、パイロット、展開して、シグナル、脅威、アラート データを自動的に収集、関連付け、分析します。
5. 機密データを保護および管理して、機密情報が存在する場所や移動する場所を問わず、機密情報を検出、分類、保護します。

アプリとエンドポイントの管理は、ゼロ トラスト展開において重要かつ基本的な役割を果たします。デバイスを管理に登録することで、コンプライアンス ポリシーを構成して、デバイスが最小要件を満たしていることを確認し、それらの構成プロファイルを展開してデバイスを脅威に対して強化することができます。強固な基盤が確立されると、デバイス リスク シグナルを使用して脅威を防御し、セキュリティ ベースラインを使用してコンプライアンスを確保できます。このようにして、デバイスが使用しているオペレーティング システム プラットフォームに関係なく、機密データを保護および管理しています。

CISA のディレクターである Jen Easterly は、メモのプレス リリースに次のように書いています。ゼロ トラストは、米国連邦政府の重要な優先事項であり、大規模な採用を促進します。あなたの組織がゼロ トラストの実装を始めたばかりか、さらに進んでいる場合は、以下の無料のリソースが役立つことを願っています。

もっと詳しく知る

ゼロ トラスト戦略の実装に役立つマイクロソフトのリソースと製品をご覧ください。

• ゼロ トラスト ガイダンス センター
• Microsoft ゼロ トラスト展開計画
• Microsoft エンドポイント マネージャー
• Intune でデバイスを管理する

米国連邦政府のゼロ トラスト戦略の発表について詳しくは、以下をご覧ください。

• 米国政府がゼロ トラスト アーキテクチャの戦略と要件を規定
• OMB 連邦ゼロ トラスト戦略

その他のリソース:

¹米国政府は、ゼロ トラスト アーキテクチャの戦略と要件を定めています, Joy Chik, Microsoft. 2022 年 2 月 17 日。

あなたが知らないかもしれない²50の発明は、米国政府、アビー・モンテイル、スタッカーによって資金提供されました. 2020 年 12 月 9 日。

³連邦労働力統計 出典: OPM および OMB 、議会調査サービス。 2021 年 6 月 24 日。

⁴1997 年から 2020 年までの米国の州政府および地方政府の職員数 (フルタイム/パートタイム別、Statista)。

⁵Forrester は、セキュリティのゼロ トラスト モデルを推し進めています。Dark Reading.

⁶ Gartner、Forecast Analysis: Remote and Hybrid Workers, Worldwide、Ranjit Atwal、Rishi Padhi、Namrata Banerjee、Anna Griffen、2021 年 6 月 2 日。GARTNER は、米国における Gartner, Inc. および/またはその関連会社の登録商標およびサービス マークです。および国際的に使用されており、許可を得てここで使用されています。全著作権所有。

⁷データ侵害レポート 2021 のコスト、IBM。

⁸サイバーセキュリティ労働力調査、(ISC) ² 。 2020年。