Moving to Zero Trust – Implementing M-22-09 – Time is Running Out

信頼ゼロへの移行 - M-22-09 M-22-09の実施 - 時間がない

ちょうど3年前、バイデン政権は大統領令（EO）14028「国家のサイバーセキュリティの改善」を発表した。このEOは、サイバー脅威との継続的な戦いにおける重要なマイルストーンであり、相互の結びつきが強まり、脆弱性が増している状況において、国家のデジタル防御を強化する重要な必要性を認識するものであった。この指令は空白の中で生まれたものではなく、長年にわたる懸念の高まりと、官民両部門の脆弱性を露呈させた有名なサイバー事件から得た厳しい教訓の上に築かれたものであり、サイバーセキュリティ慣行の包括的な見直しと、より強固なゼロトラスト・アプローチへの転換の緊急性を強調するものであった。

連邦政府におけるゼロ・トラストの実施

大統領令は、各省庁が独自のゼロ・トラスト・アーキテクチャ計画を作成することを義務付けた。さらに2022年1月、行政管理予算局の覚書22-09は、連邦ゼロ・トラスト戦略を採用するために必要なステップを概説した。また、2024年9月30日に終了する次期会計年度末までに、具体的なサイバーセキュリティ基準を確立しなければならないと規定されている。時間は刻一刻と迫っていると言っても過言ではない。

バイデンEOは、境界の保護だけでは十分ではないことを認識した。M-22-09は、CISAのゼロ・トラスト・モデルの5つの柱を活用して、より具体的な要件を定めている：アイデンティティ、デバイス、ネットワーク、アプリケーションとワークロード、データである。5つの柱にはそれぞれ、包括的なビジョンと、2024年度末（9月30日）までに各省庁が完了する必要のある一連のアクションがある。

アイデンティティ・ピラーのビジョンは、「省庁の職員は、業務で使用するアプリケーションにアクセ スするために、企業によって管理されたアイデンティティを使用する」である。 以下の具体的なアクションが必要である：

1. 省庁は、アプリケーションおよび共通プラットフォームに統合できる、省庁ユーザのための集中型 ID 管理システムを採用しなければならない。
2. エージェンシーは、企業全体で強力なMFAを使用しなければならない。
   1. MFAはネットワーク層ではなく、アプリケーション層で実施されなければならない。
   2. エージェンシーのスタッフ、請負業者、パートナーには、フィッシングに耐性のあるMFAが必要である。
   3. 一般ユーザーにとっては、フィッシングに強いMFAはオプションでなければならない。
   4. パスワードポリシーは、特殊文字や定期的なローテーションの使用を要求してはならない。
3. ユーザがリソースにアクセスすることを認可するとき、機関は、認証されたユーザに関する ID 情報とともに、少なくとも 1 つのデバイスレベルの信号を考慮しなければならない。

M-22-09で要求されている省庁の実施計画は、より良いIDおよびアクセス制御、フィッシングに強いMFAの幅広い展開、そして最終的にはより良いセキュリティにつながるはずである。

覚書は、この認証は、FIDO（Fast Identity Online）アライアンスの取り組みの一環 として開発されたW3C（World Wide Web Consortium）のオープン・スタンダードなどの標準 を使用して行われるべきであることを強調している。各省庁は、実施計画の一環として、2024 会計年度末までにこの配備を行う必要がある。  

連邦サイバーセキュリティの展望と技術 - パスワードレスへの移行

M-22-09は、期限が迫っていることや、ペリメーターアーキテクチャからゼロトラストアーキテクチャへの移行だけに焦点を当てているわけではない。これは今後も大きな課題である。バイデン政権はまた、将来に向けて連邦政府のサイバー・インフラストラクチャをより安全にするために、どのように技術を活用するかということも視野に入れている。アイデンティティの柱では、これは連邦機関がパスワードレス認証の使用を検討していることを意味する。M-22-09は、特に「各機関は、認証システムを近代化する際に、パスワードレス多要素認証の利用を拡大することを追求することが奨励される」と述べている。

FIDOアライアンスの共同設立者として、Nok Nokは、政府職員、請負業者、市民が安全に情報にアクセスできることを保証するフィッシングに強いMFAを実現するための標準と技術開発の最先端にいます。Nok Nokは今後も連邦政府と協力し、現在および将来の政府のセキュリティ体制を強化するための要件をサポートする最先端のパスワードレス認証ソリューションを提供していきます。 

多くの政府機関にとって、ゼロ・トラスト計画を実行に移さなければならない重要な時期であり、ここ数年の連邦予算計上サイクルの矛盾は、政府機関にとってゴールラインを通過するための難題となる可能性がある。これはおそらく、9月30日の期限に間に合わせるための疾走を意味するだろう。いずれにせよ、サイバーセキュリティの向上が連邦政府にとって、ひいては重要インフラにとって最優先事項であることは明らかである。 技術が向上し、CISAがより安全な連邦デジタル・インフラを確保するという役割を果たすようになるにつれて、さらなる更新や変更が行われることが予想される。