君は今、ゼロトラストの旅路のどこにいる?――米国政府機関が参照する地図、CISA「ゼロトラスト成熟度モデル」とは:働き方改革時代の「ゼロトラスト」セキュリティ(17)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、米国CISAが発表した「ゼロトラスト成熟度モデル」について解説する。
本連載では「働き方改革時代の『ゼロトラスト』セキュリティ」と題して、働き方改革がもたらすデジタルの変化に対応したセキュリティコンセプトとして、ゼロトラストの考え方を紹介してきました。
2020年4月以降はコロナ禍による不要不急の外出抑制やソーシャルディスタンスの確保など、社会生活が一変し、今もなおさまざまな場面で対応が求められています。中でも常態化したテレワークやクラウドサービス利用の促進は、私たちの働き方に大きな変化をもたらしました。自宅のリビングや書斎でPCを広げ、インターネットを経由してオンライン会議をしたり、資料を作成したり、イベントに参加したりすることは今や当たり前のことになっています。
このようなデジタルワーク環境の変化は働き方に利便性をもたらした半面、情報漏えいやコンピュータの破壊を引き起こすサイバー攻撃の端緒「アタックサーフェース(攻撃界面)」を増加させたといえます。ゼロトラストは、デジタルワーク環境を取り巻く「データ」「利用者」「ネットワーク」「デバイス」「システム(ワークロード)」の5つの柱を、認証や認可とネットワークセキュリティを軸としたセキュリティコンセプトとして、日本でも多くの企業や組織でセキュリティ指針としての採用が進む背景となりました。
セキュリティで先進的な米国でも、ジョン・バイデン政権から連邦政府機関向けの新たなサイバーセキュリティ戦略が発表され、今後2年をかけて政府全体をゼロトラストセキュリティモデルに移行する方針が示されています。
進捗状況が見えづらいゼロトラストの導入
ゼロトラストは、これまでの物理ネットワークを中心するセキュリティから変化した、「ネットワークでは内部/外部を問わず常に脅威が存在する」と想定するセキュリティモデルです。
ゼロトラストの原則に沿ったセキュリティ製品を組み合わせて構築する必要があり、企業の重視する戦略に基づいてゼロトラストを取り入れる必要があります。その取り組みは、これまでのようなセキュリティアプライアンスの導入のような単一の機能強化だけにとどまらず、認証機構との統合や自動化、可視化など連携され統制された仕組みを構築する必要があります。さながら、ゼロトラストアーキテクチャを構築する“長い旅路”のようなものでもあります。しかし、事業の目的はアーキテクチャの構築ではありません。いかなる状態でも効果的なセキュリティ対策が求められます。
では、セキュリティ対策の効果をどう測ればいいのでしょうか?
今、企業や組織が、どのぐらいゼロトラストのコンセプトにそったセキュリティ対策ができているのかを図る指標として、米国CISA(国家安全保障省サイバーセキュリティインフラストラクチャセキュリティエージェンシー)が発表した、「ゼロトラスト成熟度モデル」が参考になります。
全ての米国政府機関が目標とするCISAのゼロトラスト成熟度モデル
2022年1月26日、米国行政管理予算局MBOは「Moving the U.S. Government Towards Zero Trust Cybersecurity Principles」(米国政府のゼロトラストサイバーセキュリティ原則への移行)というタイトルの覚書を政府機関長に向けて発出しました。その中身は、2021年の大統領令に基づき国家のサイバーセキュリティを強化する上で、ゼロトラストアーキテクチャへの移行を義務付ける内容です。
この覚書で各政府機関が目指すべき指針としているのが、米国CISAの発表したゼロトラスト成熟度モデルです。各政府機関はCISAのゼロトラスト成熟度モデルを参照し、2年間の移行実施計画をMBOとCISAに提出する必要があるとされています。
CISAのゼロトラスト成熟度モデルは、政府向けのゼロトラストアーキテクチャ構築のロードマップの一つとして2021年9月に公開されました。この成熟度モデルは、ゼロトラストをForrester Researchが「拡張ゼロトラストで」として定義していたように、「データ」「アイデンティティー」「デバイス」「ネットワーク」「ワークロード」の5つの要素を柱とし、それぞれに目指すべきビジョンとともに具体的な成熟度を示しているのが特徴です。
このモデルは、米国政府でのゼロトラストアーキテクチャ構築を目的として作成されたものですが、その内容の多くは企業や組織がゼロトラストへの移行を進める際に参考になります。
ゼロトラスト成熟度モデルの示す5つの柱と成熟度
このモデルでは、ゼロトラストを構成する5つの柱とともに、それぞれの柱を「可視化と分析」「自動化と連携」「ガバナンス」によって横断的に接続される姿が描かれています。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 米国政府がゼロトラスト採用へ
米国行政管理予算局(OMB)は、「米国政府のゼロトラストサイバーセキュリティ原則への移行」と題する覚書を発表した。米国政府のゼロトラストアーキテクチャ(ZTA)戦略を説明したもので、各省庁に2024年度末までに、特定のサイバーセキュリティ基準と目標の達成を求めている。 - 日本の「ゼロトラストに向けた取り組み」は後れを取っている NRIセキュアテクノロジーズがセキュリティ実態調査の結果を発表
NRIセキュアテクノロジーズが実施した「情報セキュリティ実態調査」によると、日本は米国やオーストラリアに比べて、ゼロトラストセキュリティに向けたソリューションの導入で後れを取っていることが分かった。 - IIJがリモートアクセスVPNサービスでゼロトラスト的な機能を強化
IIJが、アクセス制御の機能を追加したクラウド型リモートアクセス VPN サービスを発表した。端末で多様な情報を取得し、可視化とポリシー設定のサイクルを回していくことができる。