ショーン・コネリーが、ゼロトラストが連邦サイバーセキュリティをモダナイズした方法を語る

サイバーセキュリティ・インフラ・セキュリティ庁(CISA)は、進化するサイバー脅威から米国の重要インフラを守る最前線に立っています。また、連邦政府がサイバーセキュリティを従来の境界ベースの戦略から最新のゼロトラストアプローチに進化させるのを支援する上で重要な役割を果たしてきました。

The Segment: A Zero Trust Leadership Podcastの最近のエピソードでは、このゼロトラストへの移行の背後にある主要なアーキテクト、CISAのゼロトラストイニシアチブの元ディレクターであるショーン・コネリーに話を聞きました。同氏は、連邦サイバーセキュリティにおける変革、ネットワーク境界の進化、ゼロトラストへの取り組みに乗り出す人への実践的なアドバイスについて考察しました。

私たちの議論の要約を得るには、読み続けてください。

Sean Connelly について

ショーンは 連邦サイバーセキュリティの第一人者であり、過去10年間、CISAの取り組みを形作る上で重要な役割を果たしてきました。彼は、連邦政府の防衛戦略に不可欠なゼロトラストサイバーセキュリティモデルを推進しました。また、最初のゼロトラスト成熟度モデルの開発を主導し、NIST ゼロトラストアーキテクチャの共著者でもあります。  

今年初め、彼はサイバーセキュリティ対策を強化するために必要なトレーニングとリソースを政府機関に提供するために、 CISAゼロトラストイニシアチブオフィス を立ち上げました。

CISAが連邦サイバーセキュリティのモダナイゼーションにどのように貢献したか

2000 年代半ば、連邦政府機関のネットワークは急速に成長し、インターネットへのネットワーク接続は驚くべき数にまで増加しました。攻撃対象領域は拡大していました。ショーンは、連邦政府が連邦政府全体のリスクを軽減する方法を見つける必要があることを認識していました。

ショーンとCISAチームは、2007年に他の米国のサイバーセキュリティ機関と提携して、 Trusted Internet Connections(TIC) イニシアチブを作成しました。目標は、政府ネットワーク上のゲートウェイの数を制限することでした。すべての連邦インターネットトラフィックは、TICが承認した機関を経由することが義務付けられています。  

当初は、従来のハブアンドスポークネットワークモデルに依存するネットワーク境界を保護することに重点が置かれていました。しかし、時間が経つにつれて、ショーンのような連邦サイバーセキュリティのリーダーは、 クラウド とモバイルテクノロジーの台頭により、より分散化されたデータ重視のアプローチが必要であることに気づきました。  

「当時でさえ、シスコとジェリコ フォーラムは、深い境界化の必要性について言及していました」と彼は説明しました。「彼らの戒めの1つは、『セキュリティをデータの近くに置けば置くほど、より良いものになる』というものでした。そして、それは理にかなっていますよね?」

TICは2.0、そして最終的には3.0に進化し、現在では政府機関がクラウドサービスとゼロトラストを採用して、今日の複雑な脅威の状況から身を守ることが奨励されています。TIC 3.0 は、以前のバージョンの TIC プログラムよりも柔軟なリスクベースのアプローチに重点を置いています。  

ショーン氏は、TIC 3.0 を連邦サイバーセキュリティの「新しい旅」と呼びました。これにより、データセキュリティとネットワークセキュリティのバランスが取れました。これは、連邦政府がゼロトラストアプローチを採用する上で重要なマイルストーンでもありました。

CISAのゼロトラスト成熟度モデルの構築

この「新しい旅」の重要な部分は、 ゼロトラストの構築に関する実践的な情報を政府機関に提供することでした。ゼロトラストには政府機関の考え方の転換が必要でしたが、政府機関のリーダーはゼロトラストを実現するための戦術的な詳細も必要としていました。

ショーンは、2021年に公開された ゼロトラスト成熟度モデル(ZTMM)を作成するためのCISAの取り組みを主導しました。ZTMM は、連邦政府機関がゼロトラストに向けて移行する際に使用できる最も重要なロードマップの 1 つです。

ZTMM は、連邦政府のゼロトラスト導入における主要なランドマークです。これは、政府機関がゼロトラスト計画を作成する際に共通言語を提供するためです。ショーンは、ゼロトラストを構築する際には正確なガイダンスの必要性を認識していました。当時、ゼロトラストに対する理解は各機関によって異なっていました。ゼロトラストが実際にどのようなものか、連邦政府のセキュリティ義務にどのように適用されるかについて混乱を引き起こしていました。同氏は、「政策に言葉を入れることはできますが、政府機関は依然として『これが本当に言いたいことなのか?』を知りたがっています」と指摘しました。

最初のバージョンをリリースした後、CISAは他のサイバー機関や中小企業とともに、ゼロトラストの進捗状況と成熟度について話し合うために機関ごとに話し合いました。その結果、ベンダー、学界、国際政府との会議を含む100+の会議が開催されました。CISA は、2022 年に公開された ZTMM の第 2 バージョンにこのフィードバックを追加しました。

「共感を呼びました」とショーンは、プレゼンテーションや記事でZTMMの山岳グラフィックを何度も見たことを振り返りながら語った。「でも、あの山の頂上に着くと、そこは本当に山脈になっているのがからかいだと思います。」

ショーン氏は、ゼロトラストは決して完全ではないと強調しました。それは継続的な旅です。「テクノロジーが進化するにつれて、旗を動かし、ゴールポストを動かします」と彼は説明した。「ゼロトラストを構築するための新しい方法を常に追加する必要があります。」そのために、ショーンはZTMMをサイバーセキュリティの現状を継続的に反映すべき生きた文書と見なしています。  

ゼロトラストへの5つのステップ

ショーン氏によると、ゼロトラストへの取り組みを始めたばかりの人々との会議に足を踏み入れるとしたら、 NSTAC ゼロトラストレポートから始めることをお勧めします。このガイドは、ゼロトラストの作成者でありイルミオのチーフエバンジェリストである ジョン・キンダーヴァグ氏とともに作成され、ゼロトラストプログラムを構築するための5つのステップを概説しています。  

ここでは、私たちが説明した 5 つのステップの内訳を示します。

1. プロテクトサーフェスを定義します。 保護が必要なものを特定します。

2. トランザクションフローのマッピング: システム、クライアントとサーバー、組織の相互作用など、組織内のデータと通信フローを文書化します。

3. アーキテクチャを構築します。 ネットワーク、ホストデバイス、IDからの信号を利用して、保護された資産に近いセキュリティ対策を備えたデータ中心のセキュリティアーキテクチャを開発します。

4. 動的ポリシーを作成します。 クライアントとサーバーおよび組織の相互作用を考慮して、変化する状況に対応する適応性のあるポリシーを確立します。

5. マニフェスト、監視、保守: ゼロトラスト環境を構築し、継続的に監視し、維持して、継続的なセキュリティとコンプライアンスを確保します。

The Segment: A Zero Trust Podcastを聞いたり、購読したり、レビューしたりする

もっと詳しく知りたいですか?ショーンとのエピソード全体は、当社のウェブサイト、Apple Podcasts、Spotify、またはポッドキャストを入手できる場所でお聴きください。エピソードの全文も読むことができます。

ゼロトラストに関するさらなる洞察を近日中にお届けします。