米国 CISA 意見募集 政府機関のクラウドへの移行を支援する
こんにちは丸山満彦です。
CISAが2021.09.07に「クラウドセキュリティ技術参照アーキテクチャ (TRA) 」と「ゼロトラスト成熟度モデル」を公開し、パブリックコメントを受け付けていますね。。。意見は10月1日まで受け付けていますね。。。
これ両方とも重要そうですね。。。
まずは、「クラウドセキュリティ技術参照アーキテクチャ (TRA) 」の紹介です。。。
● CISA
| CISA RELEASES THE CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE AND ZERO TRUST MATURITY MODEL FOR PUBLIC COMMENT | CISA、クラウド・セキュリティ・テクニカル・リファレンス・アーキテクチャとゼロ・トラスト成熟度モデルをパブリック・コメント用に公開 |
| WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the Cloud Security Technical Reference Architecture (TRA) and Zero Trust Maturity Model for public comment. As the federal government continues to expand past the traditional network perimeter, it is paramount that agencies implement data protection measures around cloud security and zero trust. The TRA is designed to guide agencies’ secure migration to the cloud by explaining considerations for shared services, cloud migration, and cloud security posture management. CISA’s Zero Trust Maturity Model assists agencies in the development of their zero trust strategies and implementation plans, and presents ways in which various CISA services can support zero trust solutions across agencies. | ワシントン - 本日、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)は、クラウドセキュリティ技術参照アーキテクチャ(TRA)とゼロトラスト成熟度モデルを公開し、パブリックコメントを受け付けました。連邦政府が従来のネットワーク境界を越えて拡大を続ける中、各省庁がクラウドセキュリティとゼロトラストに関するデータ保護対策を実施することは最重要課題となっています。TRAは、共有サービス、クラウドへの移行、クラウド・セキュリティ・ポスチャ管理に関する考慮事項を説明することで、各商法がクラウドに安全に移行するための指針となるように設計されています。CISAのゼロトラスト成熟度モデルは、各省庁のゼロトラスト戦略と実施計画の策定を支援し、さまざまなCISAサービスが各省庁のゼロトラスト・ソリューションを支援する方法を提示しています。 |
| In accordance with Executive Order 14028, “Improving the Nation’s Cybersecurity,” CISA developed the Cloud Security TRA in partnership with the United States Digital Service (USDS) and the Federal Risk and Authorization Management Program (FedRAMP). To expand this collaboration, CISA is releasing the document for public comment to collect critical feedback from agencies, industry, and academia to ensure the guidance fully addresses considerations for secure cloud migration. | CISAは、大統領令14028「国家のサイバーセキュリティの向上」に基づき、米国デジタル・サービス(USDS)および連邦リスク認可管理プログラム(FedRAMP)と協力してクラウド・セキュリティTRAを開発しました。この協力関係を拡大するために、CISAはこの文書をパブリックコメント用に公開し、政府機関、産業界、学界から重要なフィードバックを集め、ガイダンスが安全なクラウド移行のための考慮事項に完全に対応していることを確認します。 |
| CISA drafted the Zero Trust Maturity Model in June to assist agencies in complying with the Executive Order. While the distribution was originally limited to agencies, CISA is excited to release the maturity model for public comment. | CISAは、政府機関が大統領令を遵守することを支援するために、6月にゼロトラスト成熟度モデルを起草しました。このモデルの配布は当初、政府機関に限定されていましたが、CISAはこの成熟度モデルをパブリックコメントとして公開することになりました。 |
| “President Biden’s Cyber Executive Order outlined crucial steps needed to secure the federal government’s networks and CISA is focused on completing the required tasks and more,” said Eric Goldstein, Executive Assistant Director of Cybersecurity, CISA. “To meet agencies’ needs, we drafted the Zero Trust Maturity Model and Cloud Security TRA in coordination with USDS and FedRAMP. We are now requesting public comment to ensure our recommended cloud technology modernization and zero trust efforts, respectively, enable the best visibility, flexibility, and security.” | CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるエリック・ゴールドスタインは、「バイデン大統領のサイバー大統領令は、連邦政府のネットワークを保護するために必要な重要なステップを示しており、CISAは必要なタスクを完了することに注力しています。各省庁のニーズに応えるために、我々はUSDSおよびFedRAMPと協力して、ゼロトラスト成熟度モデルとクラウドセキュリティTRAを起草しました。現在、我々が推奨するクラウド技術の近代化とゼロトラストの取り組みが、それぞれ最高の可視性、柔軟性、セキュリティを実現するために、パブリックコメントを求めています」と述べています。 |
・2021.09.07 CLOUDY WITH A CHANCE OF MIGRATION: HELPING AGENCIES MAKE THE MOVE TO THE CLOUD
| CLOUDY WITH A CHANCE OF MIGRATION: HELPING AGENCIES MAKE THE MOVE TO THE CLOUD | クラウディには移行のチャンスがある:政府機関のクラウドへの移行を支援する |
| The forecast has long called for agencies’ transition to cloud services, and a new guidance document just allowed for a smooth and secure migration process. Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the Cloud Security Technical Reference Architecture (TRA) for public comment, in accordance with Section 3(c)(ii) of Executive Order 14028. CISA hopes that feedback from agencies, industry, and academia will help us include all considerations for secure cloud migration. | 予報では、以前から各省庁のクラウドサービスへの移行が求められていましたが、新しいガイダンス文書により、スムーズで安全な移行プロセスが可能になったところです。本日、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)は、大統領令 14028のセクション3(c)(ii)に基づき、クラウドセキュリティ技術参照アーキテクチャ(TRA)をパブリックコメント用に公開しました。CISAは、政府機関、産業界、学界からのフィードバックにより、安全なクラウド移行のためのあらゆる検討事項を盛り込むことができることを期待しています。 |
| The Approach | アプローチ |
| To tackle such a complex subject as cloud security, CISA teamed up with the United States Digital Service (USDS) and the Federal Risk and Authorization Management Program (FedRAMP) to co-author the guidance. Each organization brought a unique perspective to different aspects of the cloud migration process, which is reflected in the layout of the document: | クラウドセキュリティという複雑なテーマに取り組むため、CISAは米国デジタルサービス(USDS)および連邦リスク認可管理プログラム(FedRAMP)と共同でガイダンスを執筆しました。それぞれの組織は、クラウド移行プロセスのさまざまな側面に独自の視点をもたらし、それが本文書のレイアウトに反映されています。 |
| FedRAMP provided an overview of different cloud services, the shared risk model for cloud service adoption, and how FedRAMP resources can help agencies select and operate cloud services. | FedRAMPは、さまざまなクラウドサービスの概要、クラウドサービス導入のための共有リスクモデル、政府機関がクラウドサービスを選択・運用する際にFedRAMPのリソースがどのように役立つかを説明しました。 |
| USDS gave a rundown of all things cloud migration: benefits, challenges, strategies, and scenarios. So once agencies understand FedRAMP cloud considerations, they can reference the USDS recommendations as they build and maintain different cloud environments. | USDSは、メリット、課題、戦略、シナリオなど、クラウド移行に関するあらゆる情報を提供した。FedRAMPのクラウドに関する考慮事項を理解した省庁は、さまざまなクラウド環境を構築・維持する際に、USDSの推奨事項を参照することができます。 |
| CISA explained the importance of robust cloud security posture management, or CSPM, in the implementation and monitoring phases of cloud migration. So once agencies build their cloud environments using USDS recommendations, they can act on the CSPM capabilities and outcomes to integrate zero trust principles and maintain a strong cloud security posture into the future. | CISAは、クラウド移行の導入と監視の段階で、堅牢なクラウド・セキュリティ・ポスチャー・マネジメント(CSPM)が重要であることを説明している。そのため、政府機関はUSDSの推奨事項を利用してクラウド環境を構築した後、CSPMの機能と成果を利用してゼロトラスト原則を統合し、将来にわたって強固なクラウドセキュリティ態勢を維持することができます。 |
| The Result | 結果 |
| The Cloud Security TRA can help agencies at all points in the cloud migration process; agencies still using on-premises systems will be better prepared to migrate securely and effectively to the cloud, while agencies currently migrating to the cloud can reference the TRA to ensure they’re on the right course. Designed using an iterative approach, agencies can continue to reference the TRA into the future as cloud security technologies and practices continue to evolve. Most importantly, the TRA can help decrease cyber breaches across the federal network. The use of modern security tools, appropriate cloud configurations, and cloud security best practices will strengthen the government’s defenses and reduce the amount of resources spent on incident response and recovery. | クラウドセキュリティTRAは、クラウドへの移行プロセスのあらゆる段階で省庁を支援します。オンプレミスのシステムを使用している省庁は、安全かつ効果的にクラウドに移行するための準備を整えることができ、クラウドへの移行を進めている省庁は、TRAを参照することで、正しい方向性を確認することができます。また、現在クラウドへの移行を進めている省庁は、TRAを参考にして正しい方向に進むことができます。最も重要なことは、TRAが連邦政府のネットワークにおけるサイバー犯罪の減少に役立つことです。最新のセキュリティツール、適切なクラウド構成、クラウドセキュリティのベストプラクティスを活用することで、政府の防御力を強化し、インシデント対応や復旧に費やすリソースを削減することができます。 |
・CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE
| CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE | クラウドセキュリティ技術参照アーキテクチャ |
| The purpose of the Cloud Security Technical Reference Architecture (TRA) is to illustrate recommended approaches to cloud migration and data protection, as outlined in Section 3(c)(ii) of Executive Order 14028. As the Federal Government continues to transition to the cloud, the TRA will be a guide for agencies to leverage when migrating to the cloud securely. Additionally, the document explains considerations for shared services, cloud migration, and cloud security posture management. | クラウドセキュリティテクニカルリファレンスアーキテクチャ(TRA)の目的は、大統領令14028のセクション3(c)(ii)に記載されているように、クラウドへの移行とデータ保護の推奨アプローチを示すことです。連邦政府はクラウドへの移行を進めており、TRA は各省庁がクラウドに安全に移行する際の指針となります。さらに、共有サービス、クラウドの移行、クラウドのセキュリティ態勢の管理に関する考慮事項についても説明しています。 |
| The Cloud Security TRA was developed through a collaborative, multi-agency effort with contributions from the Cybersecurity and Infrastructure Security Agency (CISA), United States Digital Service (USDS), and the Federal Risk and Authorization Management Program (FedRAMP). The Cloud Security TRA provides agencies with guidance on the shared risk model for cloud service adoption (authored by FedRAMP), how to build a cloud environment (authored by USDS), and how to monitor such an environment through robust cloud security posture management (authored by CISA). | クラウドセキュリティTRAは、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)、米国デジタルサービス(USDS)、連邦リスク認可管理プログラム (FedRAMP)の複数の省庁が協力して作成しました。クラウドセキュリティTRAは、クラウドサービス導入のための共有リスクモデル(FedRAMPが作成)、クラウド環境の構築方法(USDSが作成)、強固なクラウドセキュリティポスチャー管理による環境の監視方法(CISAが作成)に関するガイダンスを各省庁に提供しています。 |
| ... | ... |
| Overall | 全体的に |
| The document strikes a balance between governance, operations, and security. Are there critical areas that should be expanded? | この文書は、ガバナンス、運用、セキュリティのバランスをとっている。拡大すべき重要な分野はあるか? |
| Section 3: Shared Services | セクション3:共有サービス層 |
| Does the updated Authorization Boundary definition meet your organization’s needs? | 更新された認証境界線の定義は、組織のニーズを満たしているか? |
| Section 4: Cloud Migration | セクション4:クラウドへの移行 |
| What additional scenarios could be incorporated? | どのような追加シナリオを組み込むことができますか? |
| Section 5: Cloud Security Posture Management | セクション 5: クラウドセキュリティ状態管理 |
| Does the definition of Cloud Security Posture Management in Section 5.1 align with and support your needs? | セクション5.1のクラウドセキュリティポスチャーマネジメントの定義は、あなたのニーズに合致し、サポートしていますか? |
| Section 5.2 outlines seven outcomes. Are there other outcomes to be considered? | セクション5.2では、7つの成果を概説しています。考慮すべき他の成果はありますか? |
| Are there other capabilities of CSPM that should be highlighted in Section 5.3? | セクション5.3で強調すべきCSPMの他の機能はありますか? |
・[PDF] Cloud Security Technical Reference Architecture (Version 1)
目次はこちら...↓↓↓
| Table of Contents | 目次 |
| 1. Introduction | 1. はじめに |
| 2. Purpose and Scope | 2. 目的と範囲 |
| 2.1 Key Programs and Initiatives | 2.1 主なプログラムとイニシアティブ |
| 3. Shared Services Layer | 3. 共有サービス層 |
| 3.1 Cloud Service Models Overview | 3.1 クラウドサービスモデルの概要 |
| 3.2 Introduction to FedRAMP | 3.2 FedRAMPの紹介 |
| 3.3 Security Considerations under FedRAMP | 3.3 FedRAMPにおけるセキュリティの考慮事項 |
| 4. Cloud Migration | 4. クラウドへの移行 |
| 4.1 Designing Software for the Cloud | 4.1 クラウド用にソフトウェアを設計する |
| 4.2 Cloud Migration Strategy | 4.2 クラウド移行戦略 |
| 4.3 Cloud Migration Scenarios | 4.3 クラウド移行のシナリオ |
| 4.4 Developing a DevSecOps Mentality | 4.4 DevSecOpsのメンタリティを身につける |
| 4.5 Building Scalable, Repeatable Architectures | 4.5 拡張性があり反復可能なアーキテクチャの構築 |
| 5. Cloud Security Posture Management | 5. クラウドセキュリティ状態管理 (CSPM) |
| 5.1 Defining CSPM | 5.1 CSPMの定義 |
| 5.2 CSPM Outcomes | 5.2 CSPMの成果 |
| 5.3 Adopting CSPM Capabilities | 5.3 CSPM機能の採用 |
| Appendix A – Glossary and Acronyms | 附属書A - 用語集と頭字語 |
| Appendix B – Resources | 附属書B - リソース |
| Table of Tables | 表のリスト |
| Table 1: Common Cloud Migration Challenges | 表1:クラウド移行の一般的な課題 |
| Table 2: Technical Challenges in Cloud Migration | 表2:クラウド移行における技術的課題 |
| Table 3: Benefits to Cloud Migration | 表3:クラウド移行のメリット |
| Table 4: Cloud Migration Strategies | 表4:クラウド移行戦略 |
| Table 5: CSPM Outcomes | 表5:CSPMの成果 |
| Table of Figures | 図のリスト |
| Figure 1: Cloud Security Technical Reference Architecture Composition and Synergies | 図1:クラウドセキュリティ技術参照アーキテクチャの構成とシナジー効果 |
| Figure 2: Responsibilities for Different Service Models | 図2:サービスモデルの違いによる責任の分担 |
| Figure 3: Scenario 1 – Notional Phase 1 Architecture | 図3:シナリオ1 - フェーズ1の想定アーキテクチャ |
| Figure 4: Scenario 1 – Phase 2 Notional Architecture with Out-of-Band Data Transfer | 図4:シナリオ1 - アウトオブバンドのデータ転送を備えたフェーズ2の想定アーキテクチャ |
| Figure 5: Scenario 2 – Notional Migration of a Website to a PaaS | 図5:シナリオ2 - ウェブサイトからPaaSへの想定される移行 |
| Figure 6: Scenario 2 – Notional Website with CDN | 図6:シナリオ 2 - CDN を備えた想定上のウェブサイト |
| Figure 7: Scenario 2 – Notional Final Architecture of the New Website | 図7:シナリオ 2 - 新しい Web サイトの想定される最終アーキテクチャ |
| Figure 8: Scenario 3 – Notional Deployment of SaaS-based Website Monitoring | 図8:シナリオ 3 - SaaS ベースの Web サイト・モニタリングの想定される展開 |
| Figure 9: DevSecOps Loop | 図9:DevSecOpsのループ |
| Figure 10: Reference Architecture for a Build System with Security Testing | 図10:セキュリティ・テストを備えたビルド・システムに関する参照アーキテクチャ |
| Figure 11: Reference Architecture on Centralized Security Services | 図11:集中型セキュリティ・サービスに関する参照アーキテクチャ |
| Figure 12: Service Deployments and Integrated Solutions | 図12:サービスの展開と統合されたソリューション |
| Figure 13: Authentication Realms | 図13:認証領域 |
Comments