Skip to main content
Securing the Digital World

アイデンティティと米国政府のサイバーセキュリティ大統領令

  • by Steve Schmalz

Flag of the United States of America

5月にバイデン大統領は国家のサイバーセキュリティ改善に関する大統領令を出しました。この命令は、公的機関がどのようにして自らのデータを保護し、全米国人が依存する重要なサービスを提供し続けられるかについてタイムリーで実用的かつ重要なガイダンスを提供します。

SolarWindsのサプライチェーン攻撃米国国際開発庁のメールベンダーの搾取、コロニアル・パイプラインのランサムウェア攻撃など、公共部門と民間部門双方に影響を与えた重大な侵害回数を考えると、組織の防御強化がこれまで以上に重要です。

この命令は、公共機関が自らの技術を確保、職員を保護し任務を遂行できるようにする重要な出発点となります。最も価値の高い新しい要件中には、政府がどのようにしてゼロ・トラストの価値を実現し、クラウドのアイデンティティ・セキュリティを加速し、多要素認証 (MFA) を効果的に導入できるかを示していいます。

ゼロ・トラストおよびアイデンティティ・セキュリティ

ゼロ・トラストは、情報セキュリティ分野で最も話題になるフレーズの1つです。大統領令は、その意味をうまくまとめています。「1つの要素に対する暗黙の信頼を排除」し、「フルアクセスのみを許可…ユーザーによる作業実行に最低限必要なもののみ」という「一連の設計原則」。

この命令の実施にあたっては、ゼロ・トラストのより狭い解釈がなされています。米国標準技術局 (NIST) のネットワーク・アーキテクチャ・フレームワークで定義されているような「ゼロ・トラスト・アーキテクチャに近づく」よう政府機関に指示しているのです。

NISTのフレームワークはネットワークに焦点を当てていますが、アイデンティティ、ガバナンス、アクセス、認証の各ソリューションはコアとなるゼロ・トラスト・ネットワーク・コンポーネントを効果的に実装するために必要なサポート・インフラを提供することで、ゼロ・トラストの推進に重要な役割を果たしています。

実際、アイデンティティおよびアクセス管理 (IAM) ソリューションとアイデンティティおよびアクセス・ガバナンス (IGA) ソリューションは、「ゼロ・トラスト」という用語が登場する以前から準備を進めてきたのです。これによりハイブリッド・ワークフォースがリモートで問題なく作業を進められるようになったのです。(世界中の企業がロックダウンを開始したちょうどそのときに「ゼロ・トラスト」という言葉がInfoSecのTwitterでトレンドになったのは偶然ではありません)。

同様に、命令におけるゼロ・トラスト・アーキテクチャーの定義では「詳細なリスクベースのアクセス制御…リソースへのアクセスを適切に許可または拒否するために、誰が、何を、いつ、どこで、どのように重要なのかという問いへの回答」の必要性が指摘されています。その粒度を設定するため公共部門の機関はアプリケーション、システムおよびデータへのアクセスに対する可視性と制御を必要とします。

最後に政府機関がそれを実施するための最良の方法の1つは、その任務の遂行に必要な、重要なシステムを特定することです。リスクベースのアプローチは、要求の重要度に基づいてアクセス要件をより厳しくすることで、「必須」システムの優先順位付けに役立ちます。

クラウド・アイデンティティ・セキュリティの高速化

連邦リスク権限付与管理プログラム (FedRAMP) は、スポンサー機関が使用するベンダーのクラウド・セキュリティ・ソリューションを評価・承認するためのフレームワークを提供します。FedRAMPにより、各機関はオンプレミスのFISMAセキュリティ体制をクラウドに拡張しつつ、クラウド・セキュリティ・ソリューションのメリットをすべて享受できるようになります。

ベンダーや政府の評価者にとってFedRAMPのようなプロセスは、厳格な評価と、進化する脅威に対処するためのソリューション構築と革新に必要な時間とのバランスを取らなければなりません。

バイデン大統領の最近の大統領令「近代化」FedRAMPおよびその「コンプライアンスの枠組み」は、そのバランス改善に役立つでしょう。政府機関が必要とするあるソリューションが機能するということを政府機関に保証し、検証済みのコントロールをより迅速に導入してクラウド環境を保護できるようになります。

さらに今回の大統領令により、セキュリティチームは、脅威のアクターに先んじるため、ソリューションを開発・適応・拡張する時間を増やせるのです。最後にFedRAMPの審査プロセスを調整することで、政府はより大きな競争と革新を促し納税者の価値向上に貢献します。

2月、FedRAMP合同認証委員会は、暫定運用機関としての認定 (P-ATO) 実現のため、スロットのSecurIDアクセスに優先順位を付けました。このニュースは、2020年11月に発表された米国国勢調査局によるFedRAMP認証のためのSecurIDアクセスのサポートに続くものです。これらの発表によりSecurIDアクセスが検証され、政府機関にとっての価値が強調されました。まもなくSecurIDはFedRAMPアプリケーションのアップデートを予定しています。

多要素認証と暗号化

この大統領令は政府機関に対して「保存中および転送中のデータの多要素認証と暗号化」の採用を求めています。

この背景にある意図は確固たるアドバイスです。MFAの導入は、あらゆる組織が自らを保護できる最も価値ある方法の1つです。ランサムウェアやその他のハッキングはアクセスの問題として始まります。誰かが不正アクセスを取得し、それを悪用するのです。コロニアル・パイプラインのランサムウェア攻撃は、アクティブに使われておらず、MFAで保護されていない仮想プライベートネットワーク (VPN) を経由してハッカーがそのネットワークに侵入したことから始まりました。データの暗号化は、基本的なサイバー衛生のもう1つの要素です。

しかし言葉遣いは重要: 政府機関はMFAを使って利用とアクセスを制限すべきです。これとは別に、保存中および移動中データを暗号化する必要があります。言葉通りにMFAと「暗号化」を同じ文にまとめると、何が実践的で効果的な勧告なのかを複雑にしてしまいます。

これはつまらないあら探しではありません。そうではなく重要な違いです。命令の文言は推進に影響を及ぼすでしょう。政府はMFAと暗号化の両方の導入をより多く成功させるための要件を整理しなければなりません。

最終的に、これらの勧告の効果的な実施は、公共部門を保護し、サイバーセキュリティ企業がハッキングの影響を軽減するために自らの役割を果たすことを確実にする上で、大いに役立つでしょう。同様に、組織間で脅威インテリジェンスを共有することを求めるこの大統領令は、次の攻撃に備え、攻撃を防止するために役立ちます。