国家のサイバーセキュリティ向上に関する大統領令(EO 14028)のセクション3: Modernizing Federal Government Cybersecurityに概説されているように、CISAは、EO要件を満たすゼロトラスト・アーキテクチャの採用において機関を支援するための連邦クラウドセキュリティ戦略の開発を任されています。政府はこの取り組みを進行させていますが、すでに公開済みの2つの政府参照アーキテクチャに注目することが重要です。なぜなら、間違いなくCISAのクラウドセキュリティ戦略の策定で重要視されるからです。NIST(800-207)とDoD(バージョン1.0)は、ともにゼロトラスト・リファレンス・アーキテクチャを公開しています。どちらも、セキュリティ・センサーから情報を得て、デバイスとユーザーの信頼性を動的に評価し、エンティティの信頼性の変化に応じてアクセス許可を自動的に変更する、ゼロトラスト・テレメトリー・アーキテクチャを定義しています。この2つは、同じ目標を達成するためのアーキテクチャですが、そこに至るまでの道筋が若干異なります。
国防総省のアーキテクチャでは、データに独自の判断基準を与えて、それぞれが独自の判断基準を持つコントロールプレーンを確立していますが、NISTではゼロトラストに対してより広範なアプローチをとり、データだけでなくすべてのリソースに関連してゼロトラストを強調しています。DoDアーキテクチャ内のデータコントロールプレーンは、データ処理リソースを包含し、そこにデータ固有のコンテキストを適用します。ほとんどのネットワーク、アプリケーション、ストレージ、サービスは、データを処理して保存するために存在しているので、これらのリソースへのアクセスは、リソース自体へのアクセスではなく、リソースに含まれるデータに固有のものでなければならないことは理にかなっています。データの保護はゼロトラストの要であり、国防総省のアーキテクチャはこれを認めています。
データセントリックエンタープライズ
現在、ほとんどのゼロトラストの取り組みは、データを含むアプリケーション、ネットワーク、サービスの保護に焦点を当てているようですが、データに特化した保護を構築するには至っていません。ネットワーク、アプリケーション、サービスのリソースを保護することは確かに重要であり、多層プロテクションには欠かせませんが、ゼロトラスト・アーキテクチャの導入を成功させるためには、データ周辺の保護を改善することが不可欠です。家に警報システムを設置している人でも、制御の不備や、信頼できない来客や雇われた従業員に備えて、貴重品は金庫に保管します。
米国国防総省は、データをリファレンス・アーキテクチャの中心に据えています。ユーザーやエンティティの信頼性は、アクセスするデータに関連して評価され、許可レベルは個々のデータリソースに応じて動的に変更されます。もしゼロトラストが、ネットワークやアプリケーションがすでに危険にさらされているという前提で運用されているのであれば、ゼロトラストを成功させる唯一の論理的な方法は、ネットワーク、アプリケーション、サービスへのアクセス技術を、包括的なデータ保護プラットフォームと組み合わせることです。巧みに設計されたゼロトラスト・アーキテクチャでは、包括的なデータ保護プラットフォームは、データを保護するだけでなく、悪意のあるインサイダーや侵害されたユーザーアカウントの可能性を分析レイヤーに通知し、アクセス権限の変更を自動的に発動する手段としても機能します。
非常にシンプルなシナリオで考えてみましょう。仮に、ある組織が特定の種類のデータを分類し、そのデータを保護するためのコントロールを導入しているとします。ジェーンは契約社員であり、その契約上の役割から、重要なアプリケーションや管理されている未分類のデータへのアクセスについて審査を受けて許可されています。ジェーンは、データ保護ソフトウェアがインストールされた政府支給のラップトップを所有しており、政府機関のCASBソリューションによって保護され管理されているOffice 365などの政府機関のクラウドアプリケーションにアクセスしています。ジェーンは、残念なことに、個人的な金銭的トラブルを抱えていて、危険な状況に陥っています。この状況から抜け出すために、彼女はインサイダーとして行動することに同意しました。ジェーンはまず、Office 365のメールを使って機密データを自分に送ろうとしますが、CASBによってブロックされます。次に彼女は、SharePointから信頼できないメールドメインにレコードを共有しようとしますが、再びCASBにブロックされ、セキュリティに報告されます。データを外付けハードドライブに必死に移そうとしますが、またしてもブロックされてしまいます。この時点でジェーンはデータが十分に保護されていることに気づいてあきらめます。
このシナリオのバックエンドでは、これらの試みの一つ一つがインシデントとして記録され、報告されます。これらのインシデントは、ゼロトラストの動的アクセスコントロール層に通知され、ジェーンの信頼レベルが変化したと判断され、ユーザーのアクセスポリシーが自動的に変更され、セキュリティオペレーションのアラートが発生します。これは、データ保護プラットフォームがどのようにユーザーの信頼度を通知し、影響を与えることができるかについての非常に基本的な例です。
包括的なデータ保護プラットフォーム
包括的なデータ保護プラットフォームを効果的に構築するには、マルチベクターで統合されたアプローチが必要です。 このプラットフォームは、共通の分類メカニズムと共通のインシデント管理ワークフローを活用したコントロールポイントの組み合わせである必要があります。データ保護の実施は、管理されているホスト、ネットワーク、SaaS、IaaS リソース全体の実施制御を促進し、可能な限り機密データが制御されていない領域に置かれないようにする必要があります。
現在、わたしたちの製品は、組み合わせによる統合 DLP アプローチによって実現させています。
- ホストデータ損失防止(DLP)
- ネットワークデータ損失防止 (DLP)
- クラウド アクセス セキュリティ ブローカー (CASB)
- ハイブリッド Web ゲートウェイ – オンプレミスと SaaS
- インシデント管理
この包括的なアプローチにより、データ保護ポリシーが管理環境全体でデータを追跡することが可能になり、企業データを静止時、転送時、使用時に確実に保護します。このプラットフォームでは、ユーザーの信頼性はそれぞれの実施ポイントでポリシーに基づいて条件付きで評価され、ゼロトラスト・アーキテクチャを介してユーザーのグループに変更が加えられると、データ保護プラットフォーム内のポリシーを自動的に変更します。
一歩先を行くアプローチ
データ保護は、長い間、すべての企業にとっての課題でした。データ保護技術の導入を成功させるためには、データ所有者を含むプログラム的な努力が必要であり、機密情報を正確に識別し、保護を構築することが必要です。適切に実装されなければ、データ保護は、多くの企業が許容できないユーザーの混乱につながる可能性があります。そのため、多くの企業が境界線やアクセス保護の改善に力を注いでいます。境界線やアクセス制御の保護では、ネットワーク内に存在する適切なアクセス権を持つ人物から保護することができないからです。企業がゼロトラスト・アーキテクチャを計画する際には、データ保護を中心に据える必要があります。
今回のEOでは、政府機関に対して未分類データの種類と機密性を定量化することを義務付けることで、政府機関をデータセンター化の道へと導いているようです。この大統領令は、悪意のある部外者から機密データへのアクセスを保護するために、データに暗号化のベストプラクティスを導入し、多要素認証を導入することに重点を置いています。しかし、偶発的または悪意のあるデータ漏洩を防ぐためのデータ損失防止アーキテクチャの広範な採用を奨励するには至っていません。
一歩進んだクラウドセキュリティ戦略においては、データを企業の中心的資源として優先的に保護するチャンスです。CISAはゼロトラスト・アーキテクチャの採用を促進できます。CISAは、この機会に信頼性の識別、防御のメカニズムの両方の役割を果たす、包括的なデータ保護プラットフォームを設計することの重要性を強調するべきです。
※本ページの内容は2021年8月11日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:Data Centric Zero Trust for Federal Government Cybersecurity
著者:Jason White