米国政府がゼロトラスト採用へ：メールは暗号化、VPNは非推奨

米国行政管理予算局（OMB）は、「米国政府のゼロトラストサイバーセキュリティ原則への移行」と題する覚書を発表した。米国政府のゼロトラストアーキテクチャ（ZTA）戦略を説明したもので、各省庁に2024年度末までに、特定のサイバーセキュリティ基準と目標の達成を求めている。

[＠IT]

　米国行政管理予算局（OMB）は2022年1月26日（米国時間）、「Moving the U.S. Government Towards Zero Trust Cybersecurity Principles」（米国政府のゼロトラストサイバーセキュリティ原則への移行）と題する覚書を発表した。

Moving the U.S. Government Towards Zero Trust Cybersecurity Principles

　各省庁の長に発出されたこの覚書は、米国政府のゼロトラストアーキテクチャ（ZTA）戦略を説明したもので、各省庁に対して2024年度末までに、特定のサイバーセキュリティ基準と目標を達成することを求めている。巧妙化、長期化するサイバー攻撃に対する政府の防御力を強化することを目的としている。

　ゼロトラストアーキテクチャの導入によって現在の脅威環境に対応したセキュリティ対策強化を目指すこの取り組みは、2021年5月に発令された大統領令14028「Improving the Nation’s Cybersecurity」（国家のサイバーセキュリティの向上）に基づいている。

　覚書に示された米国政府のゼロトラストアーキテクチャ戦略は、「現在の脅威環境において、米国政府は従来の境界ベースの防御に頼っていては、重要なシステムやデータを保護することができなくなっている。セキュリティ境界の外側または内側で活動するいかなる行為者、システム、ネットワーク、サービスも信頼できない」という認識に立っている。

　この認識から、米国政府のゼロトラストアーキテクチャ戦略では、システムやデータにアクセスしようとするあらゆるものを検証する必要がある。各ユーザー、デバイス、アプリケーション、トランザクションを、境界で一度だけ検証する従来の取り組みから、継続的に検証することへと、セキュリティ確保の考え方を転換することが要求される。

　覚書が各省庁に達成することを求めているゼロトラストセキュリティ目標は、米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が策定したゼロトラスト成熟度モデルの5つの柱に沿って整理されている。

（1）アイデンティティー
（2）デバイス
（3）ネットワーク
（4）アプリケーションとワークロード
（5）データ

　覚書では、5つの柱ごとにビジョンと行動目標を示し、これらについて詳述している。

サイバーセキュリティの専門家はどう見ているのか

シャロン・ゴールドバーグ氏

　BastionZeroのシャロン・ゴールドバーグCEOは、2022年1月27日、今回の覚書の注目ポイントを取り上げて分かりやすく解説を加えた。同社は、インフラへのリモートアクセスの管理を支援するクラウドサービスを提供している（同社はこのサービスを、「サービスとしてのインフラアクセス」と呼んでいる）。

　ゴールドバーグ氏の解説のうち、アイデンティーとネットワーク、アプリケーションとワークロードについては次の通りだ。

アイデンティティー

　覚書ではアイデンティティーに関連する行動目標として、（1）省庁全体のアイデンティティーシステム、（2）多要素認証（MFA）、（3）ユーザー認証――に関する目標を挙げている。

• 多要素認証

　多要素認証に関する目標の1つを、「多要素認証は、ネットワーク層ではなく、アプリケーション層で実施されなければならない」と覚書では記している。ゴールドバーグ氏はこれについて、「ネットワーク層の認証は、オフィスビルの鍵を渡すようなものだ。一方、アプリケーション層の認証では、ユーザーの個々の行動を制御する」と説明している。

　また同氏は、覚書の中で多要素認証について、次のような説明に注目している。

　「各省庁のシステムはフィッシングに弱い認証方法のサポートを中止しなければならない。弱い認証方法には、SMSや音声通話のために電話番号を登録したり、ワンタイムコードを提供したり、プッシュ通知を受け取ったりするプロトコルが含まれる」

　「SMSや電話を使った二要素認証（2FA）の廃止には賛同できる。だが、この覚書では、スマートフォンに搭載された『Google Authenticator』のような、一般的なワンタイムコードのアプローチも否定している。これは基本的にあらゆるSaaSビジネスで採用されている方式だ」（ゴールドバーグ氏）

　覚書ではフィッシングに強い認証方法を可能にするために、米国政府のPersonal Identity Verification（PIV）規格に準拠したカードのようなトークンを、ユーザーに提供することを提唱している。

　「省庁では、職員の採用時にオンボーディングの一環として、トークンを渡しているので、この手法は実現可能性が高い」（ゴールドバーグ氏）。

　また覚書では、多要素認証に関するもう1つの目標として、「パスワードポリシーは特殊文字の使用や定期的なローテーションを要求してはならない」ことも挙げている。これらは従来、弱いパスワードの使用につながっていたからだ。

パスワードに関する覚書の記述　「認証システムの近代化に伴い、パスワードを使わない多要素認証の利用を拡大することが奨励される。しかし、パスワードが使用されている場合、パスワードは多要素認証の『要素』だ。時代遅れのパスワード要件によって、政府職員が個人的なパスワードを再利用したり、パスワードを安全に保管しなかったり、弱いパスワードを使用したりすると、攻撃者は、多要素認証を使用するシステム内でも、不正アクセスが容易になる」

　覚書では基本的に、パスワードレスの多要素認証を推進することが推奨されているが、パスワードが使われる場合、多要素認証の認証要素の1つになる。そこで特殊文字の使用や、定期的なローテーションを要求することは、避けなければならない。

　ゴールドバーグ氏は、パスワードレス化の重要性を強調している。

• ユーザー認証

　アイデンティティーにおけるユーザー認証に関する行動目標を、覚書では「ユーザーにリソースへのアクセスを許可する際、各省庁は、認証対象ユーザーのアイデンティティー情報とともに、少なくとも1つのデバイスレベルのシグナルを考慮する必要がある」と述べている。

　「これは認証において、デバイスのコンテキストが追加されて、ユーザーが『信頼できる』デバイスから認証を試みているかどうかもチェックするということだ」（ゴールドバーグ氏）

　ただし、BYOD（私物デバイスの業務利用）を実施する場合は、デバイスコンテキストのサポートは非常に難しいと、ゴールドバーグ氏は指摘する。ITチームがユーザーデバイスを管理し、インベントリを作成する必要があるからだ。

　さらに、ゴールドバーグ氏は、ユーザー認証目標に関する覚書での説明の中で重要な点を指摘した。「米国政府の認証モデルの多くが重視しているロールベースのアクセス制御（RBAC）は、事前に定義された静的なロール（役割）に依存しているが、ゼロトラストアーキテクチャは、よりきめ細かく、動的に定義された権限を取り入れなければならない」（ゴールドバーグ氏）

ネットワーク

　覚書はネットワークに関連する行動目標として、（1）DNSトラフィックの暗号化、（2）HTTPトラフィックの暗号化、（3）電子メールトラフィックの暗号化、（4）省庁全体のゼロトラストアーキテクチャと分離戦略に関する目標を挙げている。

• DNSトラフィックの暗号化

　覚書では「各省庁は技術的にサポートされている場合、暗号化されたDNSを使用してDNSクエリを解決しなければならない」としている。これについてゴールドバーグ氏は「現在、ほとんどのDNSトラフィックは暗号化されておらず、議論を呼ぶ可能性がある」と指摘した。

• 電子メールトラフィックの暗号化

　ゴールドバーグ氏は、電子メールトラフィックの暗号化が目標に挙げられていることについて次のように指摘している。

　「CISAはFedRAMP（Federal Risk and Authorization Management Program：米国政府全体のプログラム）と協力して、転送中の電子メールを暗号化するための政府全体の実行可能なソリューションを評価し、その結果をOMBに提言すると覚え書きにはあるが、具体的な説明はない。暗号化のための技術的な実装がどうなるかは、何とも言えない」

アプリケーションとワークロード

• VPNは非推奨

　覚書ではアプリケーションとワークロードに関するビジョンを、「各省庁は、全てのアプリケーションをインターネットに接続されたものとして扱い、日常的にアプリケーションに厳格な経験的テストを実施し、外部からの脆弱（ぜいじゃく）性報告を歓迎する」と説明している。

　また、覚書のエグゼクティブサマリーでは、「米国政府のアプリケーションは、ネットワーク境界の保護に依存して不正アクセスを防ぐことはできない。ユーザーはネットワークではなく、アプリケーションにログインする必要があり、エンタープライズアプリケーションは最終的に、パブリックインターネット経由で使用できるようにしなければならない」と述べている。

　ゴールドバーグ氏は、これらの記述にあるように、覚書ではVPNが非推奨となり、「ユーザーがゼロトラスト認証を用いて、各アプリケーションに個別にアクセスできるようにする必要がある」ことが示されていると強調した。

• 責任ある情報開示

　覚書では、アプリケーションとワークロードに関する行動目標の1つを、「インターネットでアクセス可能なシステムについて、効果的で歓迎される一般向けの脆弱性開示プログラムを各省庁が維持しなければならない」と述べている。

　これは言い換えれば、各省庁は、外部研究者が省庁システムを精査し、責任を持って脆弱性を公開する活動を支援すべきだということであり、政府がこうした姿勢を打ち出すのは素晴らしいことだと、ゴールドバーグ氏は述べている。