大統領令 14028 から得たゼロトラストに関する 3 つのポイント

2021年5月、バイデン政権は 大統領令(EO)14028を発行し、連邦政府機関にサイバーセキュリティ強化の任務を課し、 特にゼロトラストセキュリティ慣行を推奨した。  

このEOは、COVID-19のパンデミックに続いて発表され、公共部門と民間部門の多くの組織のデジタルトランスフォーメーションが加速しました。ほぼ一夜にして、組織はリモートワークに移行し、クラウドへの移行がより差し迫った要件になりました。

さらに、複数の注目を集めるサイバー攻撃は、 SolarWinds、 Colonial Pipeline、 JBS 食肉加工などのサプライ チェーンに大きな影響を与えました。 

EO 14028 から 1 年が経過した今、過去を振り返って、 連邦政府機関全体でゼロトラストの導入がどのような進歩を遂げたかを確認することができます。  

イルミオのフェデラルフィールドCTOであるゲイリー・バーレットは、米国空軍および宇宙軍の元CISOであるニコラス・M・シャイランとともに、 重要インフラ技術研究所(ICIT)が主催したウェビナーでEO 14028の影響について話し合いました。  

ウェビナーはこちらからご覧ください。

読み続けて、彼らの議論から得られる 3 つの主要なポイントを学びましょう。

EO 14028 はゼロトラスト実装の増加に役立ちました 

バーレット氏とシャイラン氏は、昨年5月の大統領令以来、ゼロトラストに向けて進展があったことに同意している。この命令は、連邦政府機関や民間組織のセキュリティチームが議論を継続し、ゼロトラストイニシアチブへの資金を得るのに役立ちました。  

バーレットとチャイランが言ったように、「大統領令は決して害を及ぼさない」。 

最も重要なことは、セキュリティチームがゼロトラストセキュリティ戦略について政府が裏付けた証拠を持っていることです。  

「ゼロトラストを実装しようとしている人にとって、参考にしたり、参考にしたりできるものがあることは、より役に立ちます」とバーレット氏は述べています。  

そして多くの政府機関にとって、ゼロトラストに関する議論は大統領令から始まりました。チャレイン氏によると、ゼロトラストに対する人々の考えを変え、従来のサイバーセキュリティモデルから最新のベストプラクティスへとコンセンサスを移すのに役立ちました。 

これは、 ゼロトラストがここ数年で民間部門で成功を収めていること に続くものであり、連邦政府と軍がサイバーセキュリティにおいてどれほど遅れをとっているかを示しています。 

「今後数年間は、ゼロトラストの成功がさらに増える興味深い時期になるでしょう。これは、成功するために今後必要なメンタリティの変化です」とバーレット氏は説明した。  

連邦政府機関はゼロトラストを使用して、避けられない侵害の影響を最小限に抑えています

ゼロトラストは、大統領令を超えて、今日の高度なサイバー脅威から組織を保護するための 真のメリットがあります 。

従来のセキュリティツールは 境界に焦点を当ててきましたが、最新のネットワークは分散したハイパーコネクテッドな性質により、境界はもはや以前のように存在しません。これにより、ネットワークは攻撃に対して脆弱になります。 

「毎年、人々が侵害 を防ぐために これだけのお金を費やしているのを聞きますが、侵害が発生し た後 に何が起こるかについては議論されていません」とバーレット氏は語った。  

ゼロトラスト戦略は、侵害が発生することを想定し、攻撃が発生した後の影響を軽減する方法を提供します。  

しかし、Barlet氏とChallain氏は、 ゼロトラストが実際に何を意味するのか 、そしてそれが既存のセキュリティアーキテクチャにどのように適合するかについて混乱があったことに同意しています。  

「ゼロトラストは、侵害を防止しようとしないことを暗示しているようですが、そうではありません」とバーレット氏は説明しました。「侵害を防ぐことをあきらめるつもりはありませんが、侵害の侵入を可能にする 1 つの間違いや脆弱性、および壊滅的な攻撃を防ぐ方法も計画しましょう。」  

全体として、Barlet氏とChallain氏は、侵害の拡大を制限するために、ネットワークフローを可視化し、不要な通信をオフにし、 マイクロセグメンテーションとも呼ばれるゼロトラストセグメンテーションを実装することを政府機関に推奨しています。  

連邦政府機関向けのゼロトラストセグメンテーション:どこかから始めればいい 

ネットワークをセグメント化するというアイデアは何年も前から存在していましたが、Barlet 氏と Challain 氏は、今日の無秩序なネットワークにより、IP アドレスや VLAN を使用した従来のセグメンテーション方法がほぼ不可能になっていることについて議論しました。二人とも、セグメンテーションをはるかに小規模にすることを提唱しています。  

特に、ネットワークには、攻撃者が侵入する脆弱性を開く増え続けるユーザー、アプリケーション、環境から保護するためにゼロ トラスト セグメンテーションが必要であるとBarlet氏は述べています。  

ゼロトラストセグメンテーションの差し迫った必要性にもかかわらず、バーレット氏とチャラン氏は、 多くの政府機関がこのプロセスに圧倒されていると指摘した。  

「誰が、どこで、いつ、何にアクセスしているのかを知る必要があります。次に、それらの通信フローのうち、どれが不要でブロックされる可能性があるかを知る必要があります。これらすべての質問を全体として考えると、非常に気が遠くなるような気が遠くなります」とバーレット氏は語った。 

ゼロトラストセグメンテーションプロジェクト全体を一度に完了する必要はありません。Barlet と Challain は、高コスト、混乱、潜在的な管理上の肥大化を回避するために、 段階的なアプローチを 推奨しています。 

「一度にすべてをやろうとしないでください。どこかから始めてください」とバーレット氏は語った。  

ゼロトラストセグメンテーションプロジェクトの範囲を最初に絞り込むことで、BarletとChallainは、政府機関が次のことができることに同意しました。 

• 細部に圧倒されないようにしてください。 
• サイバーセキュリティ体制を直ちに改善します。 
• ゼロトラストの有効性を将来の取り組みで証明する機会を得てください。 

「ゼロトラストへの取り組みでどこにでも到達できる唯一の方法は、始めることです。成功は成功を生みます」とバーレット氏は語った。 

イルミオとゼロトラストセグメンテーションの詳細については、こちらをご覧ください。  

• 政府機関がイルミオを使用して侵害の拡大を阻止する方法の詳細をご覧ください。
• イルミオをゼロトラストと マイクロセグメンテーション の両方のリーダーに選出した Forrester Waveレポートをダウンロード してください。   
• ESGのゼロトラスト影響評価を受講 して、ゼロトラスト戦略をさらに活用する方法を学びましょう。 
• お問い合わせ 今すぐ相談とデモンストレーションを予約してください。