ゼロトラストを含む米国のセキュリティ対策を強化する新たな大統領令

2021年6月08日   |     |  セキュリティとコンプライアンス

2021年5月12日、バイデン政権は近年のサイバー攻撃を受けて表面化した、深刻なセキュリティ上の懸念を対処すべく、30ページに及ぶ大統領令を発表しました。

今回の大統領令では、連邦政府のセキュアなクラウドサービスへの移行や政府機関によるITインフラに必要なソフトウェアの評価をはじめ、多要素認証、EDR(エンドポイントの検出と対応)、暗号化の導入など、数多くのセキュリティ課題が取り上げられています。

また、バイデン大統領はこの命令で、ゼロトラストアーキテクチャの採用を求めています。

政府高官のひとりは次のように説明しています。「サイバーセキュリティ対策のモダナイゼーションには時間、労力、費用がかかるため、必要な措置を講じることができない状態が長らく続いていました。そして私たちは、次から次へとインシデントに対応することを許容してきました。『次のインシデントが発生するのを待つ』という状態を続けることは絶対に許されません」。

この大統領令の目的は、政府のITインフラを最新のものにすると同時にSolarWindsやコロニアル パイプラインのような深刻なサイバー攻撃による被害を最小限に抑えるための基準を策定することにあります。

この命令の主なテーマの1つが、ゼロトラストを優先事項とすることです。クラウドコンピューティングの環境やサービスを導入する際にセキュリティを確保する目的で、60日以内にゼロトラストアーキテクチャの導入計画を策定することが各省庁に求められています。

2010年にゼロトラストセキュリティモデルを開発した元Forresterのアナリスト、John Kindervag氏はこのように述べています。「これは、連邦政府機関がオンプレミスのテクノロジーにゼロトラストを採用する動機付けになります。」

「また、オンプレミスのテクノロジーに対する取り組みや、クラウドへの移行の際に、ゼロトラストの考え方が生まれます。」

またKindervag氏は、「課題となるのは、計画の策定です。なぜなら、一番はじめに取り組むべきである、保護をする必要があるものを決定するのに、60日以上の時間が必要だからです。」とも述べています。

Kindervag氏は、ゼロトラストのフレームワークを導入するには、すべてを一度に解決しようとするのではなく、段階的に進めていくことが望ましいとしています。

今回の大統領令では、次のようなゼロトラストに関する重要要素が取り上げられています。

  • 各省庁の責任者は今後60日以内に、最小権限、ネットワークセグメンテーション、および適切な構成を適用し、実施しなければならない。
  • 最小権限のアプローチを採用すれば、SolarWinds、Microsoft Exchange、コロニアル パイプラインなどのパンデミック規模の攻撃は簡単には実行できなくなる可能性がある。
  • クラウドへの移行は、最小権限でのユーザーアクセスでプラットフォーム間のワークロードをスムーズに移行できるよう、ゼロトラストの原則にもとづいて行われなければならない。

この大統領令には、Bennie G. Thompson下院議員(民主党ミシシッピ州)やYvette D. Clarke下院議員(民主党ニューヨーク州)をはじめ、多くの人々が賛同しました。

両議員は次のように述べています。「サイバーセキュリティは国家安全保障上の問題であり、政府がそのように優先順位を決定したことは称賛に値します。ロシアの攻撃者が連邦政府のネットワークにアクセスできるようになってしまったSolarWindsのサプライチェーン攻撃から、5,500マイルのガスパイプラインを一時的に停止させたコロニアル パイプラインのランサムウェア攻撃まで、サイバー攻撃は国家と経済のセキュリティを脅かしています。」

また両議員は、「少なくとも、過去6か月間に発生したサイバーインシデントは、現在そして将来のネットワークを防御するには抜本的な対策が必要であることを示しています。今回の大統領令は、まさにその現れです。」とも述べています。

ゼロトラストアーキテクチャの採用を検討している組織に向けて、OneLoginはゼロトラストを支援する数多くのツールを提供しています。

ゼロトラストセキュリティのためのツール

シングルサインオン(SSO)多要素認証(MFA)などのOneLoginのアイデンティティとアクセス管理(IAM)のツールは「何を」「いつ」「どこで」という問題を解決するのに役立ちます。

SSOは、セキュリティと使いやすさの両方を向上させ、パスワードを不要にし、検証済みの信頼関係にもとづいて安全な認可を実現します。そして、MFAは、ユーザーに追加のデータを要求して本人確認をすることで、セキュリティレベルを強化します。

また、この他に以下のような優れたアイデンティティ管理システムがあります。

  • ロールベースのアクセス制御と簡単なプロビジョニング機能
  • SSOプロセスにおいてデバイスの信頼性を考慮するシステム
  • ユーザーの位置情報、IPアドレス、ログイン時間などのコンテキスト情報を考慮してユーザープロファイルを作成し、リスクを伴うログイン試行にチャレンジするリスクベース認証が望ましい。

マイクロセグメンテーションによるセキュアなインフラストラクチャにこれらのツールを導入することで、ユーザーに負担をかけない形でゼロトラストセキュリティを実現できます。

さらに、OneLoginのDelegated Administrationツール を使用することで、ゼロトラストの原則である最小権限アクセスの採用が可能になります。管理者が細かいレベルでアクセスを簡単に委任できるようになるため、企業は生産性の要件と、脅威から組織を保護する必要性との間でバランスを取ることができます。