« 米国 CISA 意見募集 政府機関のクラウドへの移行を支援する | Main | EU議会 提言 バイオメトリクス認識と行動検知 »

2021.09.09

米国 CISA 意見募集 ゼロトラスト成熟度モデル

こんにちは丸山満彦です。

CISAが2021.09.07に「クラウドセキュリティ技術参照アーキテクチャ (TRA) 」と「ゼロトラスト成熟度モデル」を公開し、パブリックコメントを受け付けていますね。。。意見は10月1日まで受け付けていますね。。。

これ両方とも重要そうですね。。。

こちらは、「ゼロトラスト成熟度モデル」の紹介です。。。

● CISA

・2021.09.07 CISA RELEASES THE CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE AND ZERO TRUST MATURITY MODEL FOR PUBLIC COMMENT

CISA RELEASES THE CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE AND ZERO TRUST MATURITY MODEL FOR PUBLIC COMMENT CISA、クラウド・セキュリティ・テクニカル・リファレンス・アーキテクチャとゼロ・トラスト成熟度モデルをパブリック・コメント用に公開
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the Cloud Security Technical Reference Architecture (TRA) and Zero Trust Maturity Model for public comment. As the federal government continues to expand past the traditional network perimeter, it is paramount that agencies implement data protection measures around cloud security and zero trust. The TRA is designed to guide agencies’ secure migration to the cloud by explaining considerations for shared services, cloud migration, and cloud security posture management. CISA’s Zero Trust Maturity Model assists agencies in the development of their zero trust strategies and implementation plans, and presents ways in which various CISA services can support zero trust solutions across agencies. ワシントン - 本日、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)は、クラウドセキュリティ技術参照アーキテクチャ(TRA)とゼロトラスト成熟度モデルを公開し、パブリックコメントを受け付けました。連邦政府が従来のネットワーク境界を越えて拡大を続ける中、各省庁がクラウドセキュリティとゼロトラストに関するデータ保護対策を実施することは最重要課題となっています。TRAは、共有サービス、クラウドへの移行、クラウド・セキュリティ・ポスチャ管理に関する考慮事項を説明することで、各省庁がクラウドに安全に移行するための指針となるように設計されています。CISAのゼロトラスト成熟度モデルは、各省庁のゼロトラスト戦略と実施計画の策定を支援し、さまざまなCISAサービスが各省庁のゼロトラスト・ソリューションを支援する方法を提示しています。
In accordance with Executive Order 14028, “Improving the Nation’s Cybersecurity,” CISA developed the Cloud Security TRA in partnership with the United States Digital Service (USDS) and the Federal Risk and Authorization Management Program (FedRAMP). To expand this collaboration, CISA is releasing the document for public comment to collect critical feedback from agencies, industry, and academia to ensure the guidance fully addresses considerations for secure cloud migration. CISAは、大統領令14028「国家のサイバーセキュリティの向上」に基づき、米国デジタル・サービス(USDS)および連邦リスク認可管理プログラム(FedRAMP)と協力してクラウド・セキュリティTRAを開発しました。この協力関係を拡大するために、CISAはこの文書をパブリックコメント用に公開し、政府機関、産業界、学界から重要なフィードバックを集め、ガイダンスが安全なクラウド移行のための考慮事項に完全に対応していることを確認します。
CISA drafted the Zero Trust Maturity Model in June to assist agencies in complying with the Executive Order. While the distribution was originally limited to agencies, CISA is excited to release the maturity model for public comment. CISAは、政府機関が大統領令を遵守することを支援するために、6月にゼロトラスト成熟度モデルを起草しました。このモデルの配布は当初、政府機関に限定されていましたが、CISAはこの成熟度モデルをパブリックコメントとして公開することになりました。
“President Biden’s Cyber Executive Order outlined crucial steps needed to secure the federal government’s networks and CISA is focused on completing the required tasks and more,” said Eric Goldstein, Executive Assistant Director of Cybersecurity, CISA. “To meet agencies’ needs, we drafted the Zero Trust Maturity Model and Cloud Security TRA in coordination with USDS and FedRAMP. We are now requesting public comment to ensure our recommended cloud technology modernization and zero trust efforts, respectively, enable the best visibility, flexibility, and security.” CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるエリック・ゴールドスタインは、「バイデン大統領のサイバー大統領令は、連邦政府のネットワークを保護するために必要な重要なステップを示しており、CISAは必要なタスクを完了することに注力しています。各省庁のニーズに応えるために、我々はUSDSおよびFedRAMPと協力して、ゼロトラスト成熟度モデルとクラウドセキュリティTRAを起草しました。現在、我々が推奨するクラウド技術の近代化とゼロトラストの取り組みが、それぞれ最高の可視性、柔軟性、セキュリティを実現するために、パブリックコメントを求めています」と述べています。

 

・2021.09.07 NO TRUST? NO PROBLEM: MATURING TOWARDS ZERO TRUST ARCHITECTURES

NO TRUST? NO PROBLEM: MATURING TOWARDS ZERO TRUST ARCHITECTURES 信頼がない?でも問題ないです: ゼロトラスト・アーキテクチャーに向けて成熟する
Trust is an essential part of human connection. However, for network connections, trust can cause more harm than good. Executive Order (EO) 14208, “Improving the Nation’s Cybersecurity” is pushing agencies to adopt zero trust cybersecurity principles and adjust their network architectures accordingly. To help this effort, the Cybersecurity and Infrastructure Security Agency (CISA) developed a Zero Trust Maturity Model to assist agencies as they implement  zero trust architectures. The maturity model complements the Office of Management and Budget’s (OMB) Zero Trust Strategy, designed to provide agencies with a roadmap and resources to achieve an optimal zero trust environment. 信頼は、人と人とのつながりに不可欠な要素です。しかし、ネットワーク接続においては、信頼は良いことよりも悪いことを引き起こす可能性があります。大統領令14208「国家のサイバーセキュリティの向上」は、各省庁にゼロトラストのサイバーセキュリティ原則を採用し、それに応じてネットワークアーキテクチャを調整するよう促しています。この取り組みを支援するために、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)は、各省庁がゼロトラストアーキテクチャを導入する際に役立つ「ゼロトラスト成熟度モデル」を開発しました。この成熟度モデルは、行政管理予算局(OMB)の「ゼロトラスト戦略」を補完するもので、最適なゼロトラスト環境を実現するためのロードマップとリソースを各省庁に提供することを目的としています。
What is Zero Trust? ゼロトラストとは?
Zero trust is a security philosophy based on the premise that everyone and everything inside a network is suspect. Zero trust shifts the security focus from being location-centric to data-centric. In other words, instead of focusing on the network perimeter, zero trust directs security measures towards the identity of users, assets, and resources within a given network environment. Not only does the security focus shift with zero trust, but the principles and practices of cybersecurity shift as well. The old process of validating a user within a network was linear: users would provide their credentials, the system would verify the user, and then the user was granted access and considered a trusted entity within the network. The zero trust process is based on a continuous cycle of credentialing, verifying, and authorizing a user’s identity. This shift is incredibly important in a world where network perimeters are constantly changing with the increased use of remote and cloud services. ゼロトラストとは、「ネットワーク内のすべての人、すべてのものが疑わしい」という前提に基づくセキュリティ哲学です。ゼロトラストは、セキュリティの焦点を、場所中心からデータ中心へと移します。つまり、ネットワークの境界線に焦点を当てるのではなく、ネットワーク環境内のユーザ、資産、リソースのアイデンティティにセキュリティ対策を施すのがゼロトラストです。ゼロトラストでは、セキュリティの焦点が変わるだけでなく、サイバーセキュリティの原則と実践も変わります。ユーザーが認証情報を提供し、システムがユーザーを検証し、その後、ユーザーにアクセスが許可され、ネットワーク内の信頼されたエンティティとみなされるというのが、ネットワーク内でユーザーを検証する従来のプロセスでした。ゼロトラストプロセスは、ユーザーのアイデンティティを認証し、検証し、承認するという継続的なサイクルに基づいています。リモートサービスやクラウドサービスの増加に伴い、ネットワークの境界線が常に変化する世界において、この変化は非常に重要です。
What is the Zero Trust Maturity Model? ゼロトラスト成熟度モデルとは?
CISA’s Zero Trust Maturity Model is one of many roadmaps for agencies to reference as they transition towards a zero trust architecture. The maturity model, which include five pillars and three cross-cutting capabilities, is based on the foundations of zero trust. Within each pillar, the maturity model provides agencies with specific examples of a traditional, advanced, and optimal zero trust architecture. It also presents ways in which various CISA services can support zero trust solutions across agencies. The framework within the CISA Zero Trust Maturity Model allows agencies to ensure they are progressing towards a comprehensive zero trust architecture.  CISAのゼロトラスト成熟度モデルは、省庁がゼロトラスト・アーキテクチャに移行する際に参照できる数多くのロードマップの1つです。成熟度モデルは、5つの柱と3つの横断的な能力を含み、ゼロトラストの基礎に基づいています。各柱の中で、成熟度モデルは、従来型、先進型、最適型のゼロトラストアーキテクチャの具体例を各省庁に示しています。また、CISAの各種サービスが各省庁のゼロトラスト・ソリューションを支援する方法も紹介している。CISAゼロトラスト成熟度モデルのフレームワークにより、各省庁は包括的なゼロトラスト・アーキテクチャに向けて前進していることを確認できます。

 

ZERO TRUST MATURITY MODEL

ZERO TRUST MATURITY MODEL ゼロトラスト成熟度モデル
CISA’s Zero Trust Maturity Model is one of many roadmaps for agencies to reference as they transition towards a zero trust architecture. The goal of the maturity model is to assist agencies in the development of their zero trust strategies and implementation plans and present ways in which various CISA services can support zero trust solutions across agencies. CISAのゼロトラスト成熟度モデルは、政府機関がゼロトラスト・アーキテクチャに移行する際に参照できる数多くのロードマップの1つです。成熟度モデルの目的は、各省庁のゼロトラスト戦略と実施計画の策定を支援し、CISAの各種サービスが各機関のゼロトラスト・ソリューションを支援する方法を提示することにあります。
The maturity model, which include five pillars and three cross-cutting capabilities, is based on the foundations of zero trust. Within each pillar, the maturity model provides agencies with specific examples of a traditional, advanced, and optimal zero trust architecture. 成熟度モデルは、5つの柱と3つの横断的な能力を含み、ゼロトラストの基礎に基づいています。各柱の中で、成熟度モデルは、従来型、先進型、最適型のゼロトラスト・アーキテクチャの具体的な例を各機関に示しています。
Public Comment Period – NOW OPEN! パブリックコメント期間 - 現在公開中
CISA drafted the Zero Trust Maturity Model in June to assist agencies in complying with the Executive Order. While the distribution was originally limited to agencies, CISA is excited to release the maturity model for public comment. CISAは、政府機関が大統領令を遵守することを支援するために、6月にゼロトラスト成熟度モデルを起草しました。配布は当初、政府機関に限定されていましたが、CISAはこの成熟度モデルを公開し、一般からのコメントを受け付けます。
CISA is releasing the Zero Trust Maturity Model for public comment beginning Tuesday, September 7, 2021 and concludes on Friday, October 1, 2021. CISA is interested in gathering feedback focused on the following key questions: CISAは、2021年9月7日(火)から2021年10月1日(金)まで、ゼロトラスト成熟度モデルをパブリックコメント用に公開すします。CISAは、以下の重要な質問に焦点を当てたフィードバックを集めたいと考えています。
・Has this document been helpful to your agency as you prepared your Cyber Executive Order zero trust implementation plan? If not, what guidance could be added? ・この文書は、サイバー大統領令に基づくゼロトラスト実施計画を作成する際に、あなたの省庁にとって役立ちましたか? 役に立たなかった場合、どのような指針を追加すればよいですか?
・Does your agency have suggestions on how better to delineate the 5 pillars from the 3 crosscutting capabilities—Visibility and Analytics, Automation and Orchestration, and Governance? ・5つの柱を、3つの横断的機能(可視性と分析、自動化とオーケストレーション、ガバナンス)からどのように切り離すのが良いか、提案はありますか?
・Which pillars do you think are the best defined and which pillars need help? ・どの柱が最もよく定義されていて、どの柱に助けが必要だと思いますか?
・How could the Zero Trust Maturity Model better support your agency’s Cyber Executive Order zero trust implementation plan? ・ゼロトラスト成熟度モデルは、あなたの省庁のサイバー大統領令に基づくゼロトラスト実施計画をどのようにサポートすることができますか? 

 

・[PDF] Zero Trust Maturity Model - Pre-decisional Draft

20210909-121916

 

目次はこちら...

 


参考

まるちゃんの情報セッキュリティ気まぐれ日記

・2021.07.27 NISTのNCCoEがゼロトラスト・アーキテクチャ・プロジェクトの実装に参加する18社を指名していますね。。。

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.12.04 米国 国防情報システム局 戦略計画 FY19-22の改訂版を公開

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.05.28 CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

 

Table of Contents 目次
1. Introduction 1. はじめに
2. Environment 2. 環境について
3. Executive Order on Improving the Nation’s Cybersecurity 3. 国家のサイバーセキュリティの向上に関する大統領令
4. What Is Zero Trust? 4. ゼロトラストとは何か?
5. Other Federal Efforts on Zero Trust 5. ゼロトラストに関する他の連邦政府の取り組み
6. Challenge 6. 挑戦
7. Current State and Future Vision 7. 現在の状況と将来のビジョン
8. Zero Trust Maturity Model 8. ゼロトラスト成熟度モデル
8.1 Pillar #1 Identity 8.1 第1の柱 アイデンティティ
8.1.1 CISA Alignment to the Identity Pillar 8.1.1 アイデンティティの柱へのCISAの整合性
8.2 Pillar #2 Device 8.2 第2の柱 デバイス
8.2.1 CISA Alignment to the Device Pillar 8.2.1 デバイスの柱へのCISAの整合性
8.3 Pillar #3 Network/Environment 8.3 第3の柱 ネットワーク/環境
8.3.1 CISA Alignment to the Network/Environment Pillar 8.3.1 ネットワーク/環境の柱へのCISAの整合性
8.4 Pillar #4 Application Workload 8.4 第4の柱 アプリケーションワークロード
8.4.1 CISA Alignment to the Application Workload Pillar 8.4.1 アプリケーションワークロードの柱へのCISAの整合性
8.5 Pillar #5 Data 8.5 第5の柱 データ
8.5.1 CISA Alignment to the Data Pillar 8.5.1 データの柱へのCISAの整合性
9. CISA Resources 9. CISAリソース
List of Figures 図の一覧
Figure 1: Foundation of Zero Trust 図1: ゼロトラストの基盤
Figure 2: High-Level Zero Trust Maturity Model 図2:ゼロトラスト成熟度モデル概観
List of Tables 表の一覧
Table 1: Identity Pillar 表1:アイデンティティの柱
Table 2: Device Pillar 表2:デバイスの柱
Table 3: Network/Environment Pillar 表3:ネットワーク/環境の柱
Table 4: Application Workload Pillar 表4:アプリケーションワークロードの柱
Table 5: Data Pillar 表5:データの柱

Fig2_20210909130501

ゼロトラスト成熟度の概観

 

成熟度モデルはCMMではなく独特ですね。。。

Traditional – manual configurations and assignment of attributes, static security policies, pillarlevel solutions with coarse dependencies on external systems, least-function established at provisioning, proprietary and inflexible pillars of policy enforcement, manual incident response and mitigation deployment. 従来型 - 手動による設定と属性の割り当て、静的なセキュリティポリシー、外部システムへの依存度が粗い「柱」レベルのソリューション、プロビジョニング時に確立された最小機能、ポリシー実施のための独自の柔軟性に欠ける「柱」、手動によるインシデント対応と低減の展開。
Advanced – some cross-pillar coordination, centralized visibility, centralized identity control, policy enforcement based on cross-pillar inputs and outputs, some incident response to predefined mitigations, increased detail in dependencies with external systems, some least-privilege changes based on posture assessments. 上級 - 「柱」間の調整、可視性の集中化、アイデンティティの集中管理、「柱」間の入出力に基づくポリシーの実施、事前に定義されたミティゲーションに対するインシデント対応、外部システムとの依存関係の詳細化、ポスチャー評価に基づく最小権限の変更など。
Optimal – fully automated assigning of attributes to assets and resources, dynamic policies based on automated/observed triggers, assets have self-enumerating dependencies for dynamic leastprivilege access (within thresholds), alignment with open standards for cross-pillar interoperability, centralized visibility with historian functionality for point-in-time recollection of state. 最適 - アセットやリソースへの完全に自動化された属性の割り当て、自動化された/観測されたトリガーに基づく動的なポリシー、アセットには動的な最小特権アクセス(閾値の範囲内)のための自己列挙型の依存関係がある、「柱」をまたぐ相互運用性のためのオープンスタンダードとの連携、時点で状態を回顧するためのヒストリアン機能を備えた集中型の可視性。

 

 

|

« 米国 CISA 意見募集 政府機関のクラウドへの移行を支援する | Main | EU議会 提言 バイオメトリクス認識と行動検知 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 CISA 意見募集 政府機関のクラウドへの移行を支援する | Main | EU議会 提言 バイオメトリクス認識と行動検知 »