米国政府がゼロトラスト採用へ：メールは暗号化、VPNは非推奨

米国行政管理予算局（OMB）は、「米国政府のゼロトラストサイバーセキュリティ原則への移行」と題する覚書を発表した。米国政府のゼロトラストアーキテクチャ（ZTA）戦略を説明したもので、各省庁に2024年度末までに、特定のサイバーセキュリティ基準と目標の達成を求めている。

[＠IT]

　米国行政管理予算局（OMB）は2022年1月26日（米国時間）、「Moving the U.S. Government Towards Zero Trust Cybersecurity Principles」（米国政府のゼロトラストサイバーセキュリティ原則への移行）と題する覚書を発表した。

Moving the U.S. Government Towards Zero Trust Cybersecurity Principles

　各省庁の長に発出されたこの覚書は、米国政府のゼロトラストアーキテクチャ（ZTA）戦略を説明したもので、各省庁に対して2024年度末までに、特定のサイバーセキュリティ基準と目標を達成することを求めている。巧妙化、長期化するサイバー攻撃に対する政府の防御力を強化することを目的としている。

　ゼロトラストアーキテクチャの導入によって現在の脅威環境に対応したセキュリティ対策強化を目指すこの取り組みは、2021年5月に発令された大統領令14028「Improving the Nation’s Cybersecurity」（国家のサイバーセキュリティの向上）に基づいている。

　覚書に示された米国政府のゼロトラストアーキテクチャ戦略は、「現在の脅威環境において、米国政府は従来の境界ベースの防御に頼っていては、重要なシステムやデータを保護することができなくなっている。セキュリティ境界の外側または内側で活動するいかなる行為者、システム、ネットワーク、サービスも信頼できない」という認識に立っている。

　この認識から、米国政府のゼロトラストアーキテクチャ戦略では、システムやデータにアクセスしようとするあらゆるものを検証する必要がある。各ユーザー、デバイス、アプリケーション、トランザクションを、境界で一度だけ検証する従来の取り組みから、継続的に検証することへと、セキュリティ確保の考え方を転換することが要求される。

　覚書が各省庁に達成することを求めているゼロトラストセキュリティ目標は、米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が策定したゼロトラスト成熟度モデルの5つの柱に沿って整理されている。

（1）アイデンティティー
（2）デバイス
（3）ネットワーク
（4）アプリケーションとワークロード
（5）データ

　覚書では、5つの柱ごとにビジョンと行動目標を示し、これらについて詳述している。

サイバーセキュリティの専門家はどう見ているのか

シャロン・ゴールドバーグ氏

　BastionZeroのシャロン・ゴールドバーグCEOは、2022年1月27日、今回の覚書の注目ポイントを取り上げて分かりやすく解説を加えた。同社は、インフラへのリモートアクセスの管理を支援するクラウドサービスを提供している（同社はこのサービスを、「サービスとしてのインフラアクセス」と呼んでいる）。

　ゴールドバーグ氏の解説のうち、アイデンティーとネットワーク、アプリケーションとワークロードについては次の通りだ。