Joe Biden政権は、連邦政府機関向けの新たなサイバーセキュリティ戦略を発表した。この新戦略で、米政府を「ゼロトラスト」セキュリティモデルへと移行させる。
提供:White House
約30ページにおよぶ計画書では、システムの保護やセキュリティインシデントのリスク抑制を目的として、連邦政府機関が今後2年以内に講じるべき対策数十件について説明している。米政府は、SolarWinds製品を悪用した攻撃で大きな被害に遭った。ロシアのハッカーが複数の米政府機関のシステムに侵入したとみられている。
政府機関は2024会計年度末までに、計画書に示された対策の多くを実行しなければならない。これには、より厳重なネットワークのセグメンテーションや多要素認証、広範な暗号化などが含まれている。政府機関は、2年間の実施計画を60日以内に行政管理予算局(OMB)とサイバーセキュリティ・インフラセキュリティ庁(CISA)に提出する必要がある。また、政府機関の最高データ責任者(CDO)は120日以内に、主要な政府機関の関係者と連携し、組織内の機密電子文書の仮分類を進めなければならない。
ホワイトハウスは、高度なサイバー攻撃の脅威が高まっており、「米連邦政府はもはや、従来の境界(ペリメーター)ベースの防御に依存して、重要なシステムやデータを守ることはできないことが明確になっている」と述べている。
「ゼロトラスト戦略により、このような脅威を政府機関がより迅速に検知、分離し、対応できるようになる。新たな戦略は、政府機関向けに一連の具体的なセキュリティの目標を詳細に説明することで、わが国の防衛に役立てられる新たなサイバーセキュリティのパラダイムへと連邦政府を移行させるための総合的なロードマップを提示している。これらの目標は、既存のゼロトラストモデルの延長線上にあり、そうしたモデルを支えるものだ」(ホワイトハウス)
今回の動きは、2021年5月の大統領令に基づいて開始された米国のシステム防衛に向けた大規模な取り組みの一環となる。
ホワイトハウスは、2021年9月に戦略の原案を発表した。最終草案には、サイバーセキュリティの専門家や企業、非営利団体から寄せられた知見が盛り込まれている。
ホワイトハウスは最近明らかになった「Apache Log4j」の脆弱性について、「今後も敵対勢力が入り込む新たな機会を見出そうとしていることを示す最新の証拠」だとしている。
CISAのJen Easterly長官は、ゼロトラストは政府の防御をモダナイズし、強化するための重要な要素だと述べている。「敵はわれわれのインフラを侵害する革新的な手段を追求し続けており、われわれは連邦政府のサイバーセキュリティへのアプローチの変革を続けなければならない」(Easterly長官)
多くの組織が今回の動きに支持を表明し、連邦政府はセキュリティに対する姿勢を改める必要があると述べている。
Google Cloudの最高情報セキュリティ責任者(CISO)Phil Venables氏は、Googleは長くゼロトラストのようなモダンなセキュリティ対策の導入を支持しており、「ゼロトラストの取り組みに着手する」連邦政府を支えていくと述べた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
