« IPA 情報セキュリティ10大脅威 2022 ~昨年と同じ脅威が引き続き上位に、日常的な備えが重要~ | Main | 総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集 »

2022.01.28

米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

こんにちは、丸山満彦です。

米国行政管理予算局が、「米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書」を公表していますね。。。

具体的に進みますよね。。。

 

White House - OMB - Memorandum

・2022.01.26 [PDF] M-22-09 Moving the U.S. Government Toward Zero Trust Cybersecurity Principles

20220128-00955

目次的なもの。。。

I. OVERVIEW I. 概要
II.  EXECUTIVE SUMMARY II.  エグゼクティブサマリー
III.  ACTIONS III.  取り組み
A. Identity A. アイデンティティ
1. Enterprise-wide identity systems 1. エンタープライズ全体の ID システム
2. Multi-factor authentication 2. 多要素認証
3. User Authorization 3. ユーザ認証
B. Devices B. デバイス
1. Inventorying assets 1. 資産の棚卸し
2. Government-wide endpoint detection and response 2. 政府全体のエンドポイント検出と対応
C. Networks C. ネットワーク
1. Network visibility and attack surface 1. ネットワークの可視性と攻撃対象領域
2. Encrypting DNS traffic 2. DNSトラフィックの暗号化
3. Encrypting HTTP traffic 3. HTTPトラフィックの暗号化
4. Encrypting email traffic 4. 電子メールトラフィックの暗号化
5. Enterprise-wide architecture and isolation strategy 5. エンタープライズ全体のアーキテクチャと分離戦略
D. Applications and Workloads D. アプリケーションとワークロード
1. Application security testing 1. アプリケーションのセキュリティテスト
2. Easily available third-party testing 2. 容易に入手できる第三者によるテスト
3. Welcoming application vulnerability reports 3. アプリケーションの脆弱性報告を歓迎する
4. Safely making applications internet-accessible 4. アプリケーションを安全にインターネットにアクセス可能にする
5. Discovering internet-accessible applications 5. インターネットにアクセス可能なアプリケーションの発見
6. Immutable workloads 6. 不変的なワークロード
E. Data E. データ
1. Federal data security strategy 1. 連邦データセキュリティ戦略
2. Automating security responses 2. セキュリティ対応の自動化
3. Auditing access to sensitive data in the cloud 3. クラウド上の機密データへのアクセスを監査する
4. Timely access to logs 4. ログへのタイムリーなアクセス
F. OMB Policy Alignment F. OMBポリシーの調整
1. OMB M-21-07 - IPv6 and Zero Trust 1. OMB M-21-07 - IPv6とゼロトラスト
2. OMB M-19-17 - PIV and non-PIV authenticators 2. OMB M-19-17 - PIV および非 PIV 認証子
3. OMB M-19-26 and OMB M-21-31 – Alternatives to network inspection 3. OMB M-19-26 および OMB M-21-31 - ネットワーク検査の代替手段
4. OMB M-15-13 – HTTPS for internal connections 4. OMB M-15-13 - 内部接続のための HTTPS

 

概要レベル・・・

SUBJECT:  Moving the U.S. Government Toward Zero Trust Cybersecurity Principles  SUBJECT:  米国政府のゼロトラスト・サイバーセキュリティ原則への移行について
This memorandum sets forth a Federal zero trust architecture (ZTA) strategy, requiring agencies to meet specific cybersecurity standards and objectives by the end of Fiscal Year (FY)  この覚書は、連邦政府のゼロ・トラスト・アーキテクチャ(ZTA)戦略を定めたものであり、各省庁に対し、2024年度末までに特定のサイバーセキュリティ基準と目標を達成することを求めています。
2024 in order to reinforce the Government’s defenses against increasingly sophisticated and persistent threat campaigns. Those campaigns target Federal technology infrastructure, threatening public safety and privacy, damaging the American economy, and weakening trust in Government.  2024年度末までに特定のサイバーセキュリティ基準と目標を達成することを各機関に求めています。このようなキャンペーンは、連邦政府の技術インフラを標的とし、国民の安全とプライバシーを脅かし、米国経済にダメージを与え、政府に対する信頼を低下させます。
I. OVERVIEW I. 概要
Every day, the Federal Government executes unique and deeply challenging missions: 連邦政府は、日々、ユニークで困難なミッションを遂行しています。
agencies   safeguard our nation’s critical infrastructure, conduct scientific research, engage in diplomacy, and provide benefits and services for the American people, among many other public functions. To deliver on these missions effectively, our nation must make intelligent and vigorous use of modern technology and security practices, while avoiding disruption by malicious cyber campaigns.  政府機関は、国の重要なインフラを保護し、科学研究を行い、外交を行い、米国民に利益とサービスを提供するなど、多くの公共機能を担っています。これらのミッションを効果的に遂行するためには、悪質なサイバーキャンペーンによる混乱を回避しつつ、最新のテクノロジーとセキュリティ対策をインテリジェントかつ積極的に活用しなければなりません。
Successfully modernizing the Federal Government’s approach to security requires a  連邦政府のセキュリティに対するアプローチをうまく近代化するには、政府全体で取り組む必要があります。
Government-wide endeavor. In May of 2021, the President issued Executive Order (EO) 14028, Improving the Nation’s Cybersecurity,  initiating a sweeping Government-wide effort to ensure that baseline security practices are in place, to migrate the Federal Government to a zero trust architecture, and to realize the security benefits of cloud-based infrastructure while mitigating associated risks.  政府全体で取り組む必要があります。2021年5月、大統領は大統領令(EO)14028「国家のサイバーセキュリティの向上」を発令し、基本的なセキュリティ対策を確実に実施し、連邦政府をゼロトラストアーキテクチャに移行し、関連するリスクを軽減しながらクラウドベースのインフラストラクチャのセキュリティ上の利点を実現するために、政府全体で大規模な取り組みを開始しました。
II.  EXECUTIVE SUMMARY  II.  エグゼクティブサマリー 
In the current threat environment, the Federal Government can no longer depend on conventional perimeter-based defenses to protect critical systems and data. As President Biden stated in EO 14028, “Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life.”   現在の脅威環境では、連邦政府は重要なシステムやデータの保護を従来の境界線ベースの防御に頼ることはできなくなっています。バイデン大統領が EO 14028 で述べたように、「漸進的な改善では必要なセキュリティは得られない。米国の生活様式を支える重要な機関を守るために、連邦政府は大胆な変革と多額の投資を行う必要がある」のです。 
A transition to a “zero trust” approach to security provides a defensible architecture for this new environment. As described in the Department of Defense Zero Trust Reference Architecture,  “The foundational tenet of the Zero Trust Model is that no actor, system, network, or service operating outside or within the security perimeter is trusted. Instead, we must verify anything and everything attempting to establish access. It is a dramatic paradigm shift in philosophy of how we secure our infrastructure, networks, and data, from verify once at the perimeter to continual verification of each user, device, application, and transaction.” This strategy envisions a Federal Government where:   セキュリティに対する「ゼロ・トラスト」アプローチへの移行は、この新しい環境に対応する防御可能なアーキテクチャを提供します。国防総省のゼロトラスト・リファレンス・アーキテクチャに記載されているように、「ゼロトラストモデルの基本的な考え方は、セキュリティ境界線の外側または内側で活動するいかなる行為者、システム、ネットワーク、サービスも信頼しないということです。代わりに、アクセスを確立しようとするあらゆるものを検証しなければなりません。これは、インフラ、ネットワーク、データのセキュリティを確保する方法の哲学における劇的なパラダイムシフトであり、境界で一度だけ検証することから、各ユーザー、デバイス、アプリケーション、トランザクションを継続的に検証することになります。この戦略では、以下のような連邦政府を想定しています。 
• Federal staff have enterprise-managed accounts, allowing them to access everything they need to do their job while remaining reliably protected from even targeted, sophisticated phishing attacks.  ・連邦政府の職員は,エンタープライズ管理されたアカウントを持ち,業務に必要なあらゆるものにアクセスできる一方で,標的を絞った巧妙なフィッシング攻撃からも確実に保護されている。
• The devices that Federal staff use to do their jobs are consistently tracked and monitored, and the security posture of those devices is taken into account when granting access to internal resources.  ・連邦政府職員が業務に使用するデバイスは,一貫して追跡・監視され,内部リソースへのアクセスを許可する際には,それらのデバイスのセキュリティ状態が考慮される。
• Agency systems are isolated from each other, and the network traffic flowing between and within them is reliably encrypted.   ・連邦政府のシステムは相互に隔離されており,システム間やシステム内を流れるネットワークトラフィックは確実に暗号化されています。
• Enterprise applications are tested internally and externally, and can be made available to staff securely over the internet.  ・エンタープライズアプリケーションは,社内外でテストされ,インターネット経由で安全に職員に提供される。
• Federal security teams and data teams work together to develop data categories and security rules to automatically detect and ultimately block unauthorized access to sensitive information.  ・連邦政府のセキュリティチームとデータチームが協力して,データカテゴリーとセキュリティルールを開発し,機密情報への不正アクセスを自動的に検出し,最終的にブロックする。
This strategy places significant emphasis on stronger enterprise identity and access controls, including multi-factor authentication (MFA). Without secure, enterprise-managed identity systems, adversaries can take over user accounts and gain a foothold in an agency to steal data or launch attacks. This strategy sets a new baseline for access controls across the Government that prioritizes defense against sophisticated phishing, and directs agencies to consolidate identity systems so that protections and monitoring can be consistently applied. Tightening access controls will require agencies to leverage data from different sources to make intelligent decisions, such as analyzing device and user information to assess the security posture of all activity on agency systems.   この戦略では、多要素認証(MFA)を含む、エンタープライズのアイデンティティとアクセス制御の強化を重視しています。エンタープライズが管理する安全なアイデンティティシステムがなければ、敵対者はユーザーアカウントを乗っ取り、データを盗んだり攻撃を仕掛けたりするための足がかりを得ることができます。この戦略では、政府全体のアクセス制御の新たな基準を設定し、高度なフィッシングに対する防御を優先し、保護と監視を一貫して適用できるようにIDシステムを統合するよう各機関に指示しています。アクセス制御を強化するためには、デバイスやユーザの情報を分析して、政府機関のシステムにおけるすべての活動のセキュリティ状況を評価するなど、さまざまなソースからのデータを活用してインテリジェントな判断を下す必要があります。 
A key tenet of a zero trust architecture is that no network is implicitly considered trusted—a principle that may be at odds with some agencies’ current approach to securing networks and associated systems. All traffic must be encrypted and authenticated as soon as practicable. This includes internal traffic, as made clear in EO 14028, which directs that all data must be encrypted while in transit. This strategy focuses agencies on two critical and widely used protocols in the near-term, DNS and HTTP traffic;  in addition, the Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Risk and Authorization Management Program (FedRAMP) will evaluate options for encrypting email in transit.   ゼロ・トラスト・アーキテクチャの主な考え方は、どのネットワークも暗黙のうちに信頼されているとみなされないということです。すべてのトラフィックは、可能な限り速やかに暗号化され、認証されなければなりません。これには内部トラフィックも含まれます。EO 14028では、転送中のすべてのデータを暗号化するよう指示しています。この戦略では、近日中に、重要かつ広く使用されている2つのプロトコル、DNSおよびHTTPトラフィックに焦点を当てています。さらに、Cybersecurity and Infrastructure Security Agency(CISA)およびFederal Risk and Authorization Management Program(FedRAMP)は、転送中の電子メールを暗号化するためのオプションを評価します。 
Further, Federal applications cannot rely on network perimeter protections to guard against unauthorized access. Users should log into applications, rather than networks, and enterprise applications should eventually be able to be used over the public internet. In the nearterm, every application should be treated as internet-accessible from a security perspective. As this approach is implemented, agencies will be expected to stop requiring application access be routed through specific networks, consistent with CISA’s zero trust maturity model.   さらに、連邦政府のアプリケーションは、不正なアクセスから保護するために、ネットワークの境界線の保護に頼ることはできません。ユーザーは、ネットワークではなくアプリケーションにログインする必要があり、エンタープライズ・アプリケーションは、最終的には公共のインターネット上で使用できるようにする必要があります。近い将来、すべてのアプリケーションは、セキュリティの観点からインターネットにアクセスできるものとして扱われるべきです。このアプローチが導入されると、各機関は、CISAのゼロトラスト成熟度モデルに沿って、アプリケーション・アクセスが特定のネットワークを経由することを要求しなくなることが期待されます。 
In addition to robust internal testing programs, agencies should scrutinize their applications as our nation’s adversaries do. This requires welcoming external partners and independent perspectives to evaluate the real-world security of agency applications, and a process for coordinated disclosure of vulnerabilities by the general public.   政府機関は、強固な内部テストプログラムに加えて、国家の敵対者と同じようにアプリケーションを精査する必要があります。そのためには、外部のパートナーや独立した視点から、政府機関のアプリケーションの実世界でのセキュリティを評価することや、一般市民が脆弱性を協調して開示するためのプロセスが必要となります。 
This strategy also calls on Federal data and cybersecurity teams within and across agencies to jointly develop pilot initiatives and Government-wide guidance on categorizing data based on protection needs, ultimately building a foundation to automate security access rules. This collaborative effort will better allow agencies to regulate access based not only on who or what is accessing data, but also on the sensitivity of the data being requested.  また、本戦略では、各省庁のデータおよびサイバーセキュリティチームが、保護の必要性に基づいてデータを分類するための試験的な取り組みや政府全体の指針を共同で策定し、最終的にセキュリティアクセスルールを自動化するための基盤を構築することを求めています。この共同作業により、政府機関は、誰が何のためにデータにアクセスしているかだけでなく、要求されたデータの機密性に基づいてアクセスを規制することができるようになります。
Transitioning to a zero trust architecture will not be a quick or easy task for an enterprise as complex and technologically diverse as the Federal Government. The strategy set forth in this memorandum is designed to reduce uncertainty and outline a common path toward implementing EO 14028, by updating and strengthening information security norms throughout the Federal enterprise.   ゼロトラスト・アーキテクチャへの移行は、連邦政府のように複雑で技術的に多様なエンタープライズにとって、迅速かつ容易な作業ではありません。この覚書に記載されている戦略は、連邦政府全体の情報セキュリティ規範を更新および強化することで、不確実性を低減し、EO 14028 の実施に向けた共通の道筋を示すことを目的としています。 

 

仮対訳。。。

・[DOCX] 仮対訳

 

 

|

« IPA 情報セキュリティ10大脅威 2022 ~昨年と同じ脅威が引き続き上位に、日常的な備えが重要~ | Main | 総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« IPA 情報セキュリティ10大脅威 2022 ~昨年と同じ脅威が引き続き上位に、日常的な備えが重要~ | Main | 総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集 »