.png)
バイデン大統領の新しいセキュリティポリシーがサイバー社会の将来にとって何を意味するか
この記事は最初に公開されました アンドリュー・ルービンのLinkedIn。
バイデン政権は、米国政府のレジリエンスの向上とリスクの軽減を目的とした抜本的な大統領令により、サイバーセキュリティ政策におけるその遺産を確固たるものにしました。米国政府がサイバーセキュリティ計画の再構築を試みたのは、20年近くぶりであり、すぐには実現しません。現在、攻撃者はこれまで以上に、新しい侵入方法を追求するための時間、人員、リソースを得ています。また、最近のコロニアルパイプラインとSolarWindsの攻撃で示されているように、攻撃者はこの悪用の取り組みが大成功を収めています。
これはアメリカだけの問題でも、連邦政府の問題でも、政策上の問題でもありません。自己満足がシステムに忍び込んだのです。だからこそ、私はこの大統領令を両手を広げて歓迎します。なぜなら、この大統領令は、私たち自身を守る方法を変えるために必要な行動を促すものだからです。
時代を先取りする
米国連邦政府は、かなり長い間、情報技術とサイバーセキュリティの近代化においてひどく遅れをとってきました。米国国土安全保障省長官のアレハンドロ・マヨルカス氏は、米国の連邦サイバーセキュリティの現状を最もよく説明し、次のように語っています。 ビジョン 3月31日の全国サイバー・レジリエンスについて:「昨年、政府がハッキングされ、何ヶ月もそのことを知りませんでした。世界有数のサイバーセキュリティ企業が、自らハッキングを受け、政府に警告を発して初めて、私たちはそれを知りました。この事件は、連邦政府がサイバーセキュリティ対策を近代化し、パートナーシップを深める必要性を浮き彫りにした多くの事件のうちの1つです。」
世界で最も豊かで革新的な国の1つが、国のインフラの確保に関して歴史的に遅れをとってきたのはどうしてですか?政府資産の確保に何十億ドルもの連邦資金を投じれば、外部からの脅威の影響を軽減できると考える人もいるでしょう。
しかし、問題は、リソースや人材、クラス最高のサイバー防衛技術へのアクセスが不足しているということではありません。結局のところ、米国は多くのグローバルサイバーセキュリティリーダーの誇り高い本拠地です。その代わり、マヨルカス国務長官が提示していたのは、サイバーセキュリティモデル全体に対する非難だと私は考えています。世界のためではないにしても、少なくとも連邦政府に対してはです。
世界的に、私たち 昨年、サイバーセキュリティに1,730億ドルを費やしましたしかし、これまでのどの時期よりも多くの侵害が発生しています。そして、これは史上最も壊滅的な侵害です。戦略が失敗し、ひどい結果になったにもかかわらず、私たちは20年前と同じアプローチを今日もサイバーセキュリティに採用し続けています。組織は、攻撃が境界に侵入するのを防ぎ、侵入した攻撃を検知し、インシデント対応に頼って混乱を片付けるように努めています。
予防と検出だけで機関、企業、組織を救っていた時代は終わりました。現在、インフラストラクチャに攻撃が潜んでいますが、その存在はわかりません。彼らは隠れています。彼らはなりすましている。彼らはあちこち動き回って、あなたのIP、顧客データ、政府の秘密を盗もうとしたり、身代金を要求したりしています。そして悲しいことに、現在のサイバーセキュリティアプローチは、これらの攻撃が大規模なサイバー災害になるのを防ぐにはほとんど役立ちません。
グラウンドゼロへの移行
この大統領令はついに次のことを認めています 連邦サイバーセキュリティ 新しいセキュリティ設計の最初の草案をレイアウトしたので、モデルは時代遅れです。この新しいアプローチは、「ゼロトラスト」という2つの言葉にまとめることができます。
ベンダーを選ぶと、無数のゼロトラスト定義が見つかります。フォレスター社は10年以上前にこの用語を公表しましたが、 最近のブログ Forresterのアナリスト、スティーブ・ターナー氏は、「ゼロトラストは1つの製品やプラットフォームではなく、『決して信頼せず、常に検証する』と『侵害を想定する』というコンセプトに基づいて構築されたセキュリティフレームワークです」と述べています。
連邦レベルでのゼロトラストとはどのようなものかというと、ゼロトラスト戦略の導入と達成を成功させるには、いくつかの中核的な要素があります。アクセス、アイデンティティ、セグメンテーションは、大規模環境では必要になると考える 3 つのコアテクノロジーです。たとえば、Google 認証システムや Authy などの多要素認証アプリを使用したことがあれば、ゼロトラストへの一歩を踏み出したことになります。しかし、どの定義に従おうと、必ず求められる基本的な設計原則があります。
基本原則として、連邦政府は「」の下で運営しなければならない。違反を想定」という考え方。つまり、攻撃はすでにインフラストラクチャで発生しており、新しい攻撃は将来再び侵入するだろうという考え方です。こうした戦略的な出発点から、連邦政府のサイバー防衛機関は、クラウド、ネットワーク、またはデータセンター全体にわたる敵対的な攻撃の動きを阻止するための準備を整えることができます。私たちは、セキュリティ侵害の 0.1% が納税者に数十億ドルの損害を与えたり、戦略的燃料パイプラインなどの重要インフラを強制的に閉鎖させたりする場合、99.9% の有効性だけでは不十分であることを痛感しました。むしろ、組織が侵害の影響を軽減できるように、侵害に積極的に備えることが大切です。
もう少し詳しく説明すると、政府は最小特権と明示的信頼の原則に従うべきです。つまり、インフラストラクチャ全体 (アプリケーション、ネットワーク、クラウド、データセンター、デバイス間) の通信には、常に可能な限り最低限の権限しか与えられないようにすべきであり、政府機関はそれらのシステム間で通信が許可される前に明示的に信頼することを義務付けられるべきです。たとえば、これらの原則があれば、SolarWinds 攻撃による被害が甚大になるのを防ぐことができたはずです。マルウェアはインフラストラクチャ内に存在するものの、隔離されていたため、このような広範囲にわたる被害を引き起こすことはできませんでした。
ニュー・サイバー・ノーマル
マヨルカス国務長官が説明したように、「私たちは考え方を根本的に変え、防衛はレジリエンスと密接に関連していなければならないことを認識しなければなりません。サイバー防御を強化するためには、大胆かつ即時のイノベーション、大規模な投資、そして必要不可欠なサイバー衛生の水準の引き上げが緊急に必要とされています。それに応じて、政府内外の投資に優先順位を付ける必要があります。」
ゼロトラスト は単なる全国的なサイバーセキュリティフレームワークではありません。あらゆる企業、組織、個人が真のサイバーレジリエンシーを実現するために採用できるものです。バイデン政権が提唱しているのは、今日の世界を支え、保護しているセキュリティツールやテクノロジーを打倒することではなく、サイバーセキュリティ防御をさらに強化し、備えを強化するために、それらのソリューションを補完する戦略的考え方です。
連邦政府のサイバーセキュリティの近代化を一度にすべて行うことはできないことは明らかですが、まずは、悪意のある活動が連邦ネットワークに侵入した後に、それを隔離するように設計された制御から始める必要があります。そのためには、あらゆる機関で「侵害を想定する」という考え方から始める必要があります。そして、ゼロトラスト戦略を大規模に採用することから始める必要があります。
