ホワイトハウス、米政府機関向けのゼロトラスト戦略を発表

Jonathan Greig (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2022-01-27 15:26

 Joe Biden政権は、連邦政府機関向けの新たなサイバーセキュリティ戦略を発表した。この新戦略で、米政府を「ゼロトラスト」セキュリティモデルへと移行させる。

Cybersecurity: White House rolls out zero trust strategy for federal agencies
提供:White House

 約30ページにおよぶ計画書では、システムの保護やセキュリティインシデントのリスク抑制を目的として、連邦政府機関が今後2年以内に講じるべき対策数十件について説明している。米政府は、SolarWinds製品を悪用した攻撃で大きな被害に遭った。ロシアのハッカーが複数の米政府機関のシステムに侵入したとみられている。

 政府機関は2024会計年度末までに、計画書に示された対策の多くを実行しなければならない。これには、より厳重なネットワークのセグメンテーションや多要素認証、広範な暗号化などが含まれている。政府機関は、2年間の実施計画を60日以内に行政管理予算局(OMB)とサイバーセキュリティ・インフラセキュリティ庁(CISA)に提出する必要がある。また、政府機関の最高データ責任者(CDO)は120日以内に、主要な政府機関の関係者と連携し、組織内の機密電子文書の仮分類を進めなければならない。

 ホワイトハウスは、高度なサイバー攻撃の脅威が高まっており、「米連邦政府はもはや、従来の境界(ペリメーター)ベースの防御に依存して、重要なシステムやデータを守ることはできないことが明確になっている」と述べている

 「ゼロトラスト戦略により、このような脅威を政府機関がより迅速に検知、分離し、対応できるようになる。新たな戦略は、政府機関向けに一連の具体的なセキュリティの目標を詳細に説明することで、わが国の防衛に役立てられる新たなサイバーセキュリティのパラダイムへと連邦政府を移行させるための総合的なロードマップを提示している。これらの目標は、既存のゼロトラストモデルの延長線上にあり、そうしたモデルを支えるものだ」(ホワイトハウス)

 今回の動きは、2021年5月の大統領令に基づいて開始された米国のシステム防衛に向けた大規模な取り組みの一環となる。

 ホワイトハウスは、2021年9月に戦略の原案を発表した。最終草案には、サイバーセキュリティの専門家や企業、非営利団体から寄せられた知見が盛り込まれている。

 ホワイトハウスは最近明らかになった「Apache Log4j」の脆弱性について、「今後も敵対勢力が入り込む新たな機会を見出そうとしていることを示す最新の証拠」だとしている。

 CISAのJen Easterly長官は、ゼロトラストは政府の防御をモダナイズし、強化するための重要な要素だと述べている。「敵はわれわれのインフラを侵害する革新的な手段を追求し続けており、われわれは連邦政府のサイバーセキュリティへのアプローチの変革を続けなければならない」(Easterly長官)

 多くの組織が今回の動きに支持を表明し、連邦政府はセキュリティに対する姿勢を改める必要があると述べている。

 Google Cloudの最高情報セキュリティ責任者(CISO)Phil Venables氏は、Googleは長くゼロトラストのようなモダンなセキュリティ対策の導入を支持しており、「ゼロトラストの取り組みに着手する」連邦政府を支えていくと述べた。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]