米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)
こんにちは、丸山満彦です。
NISTがゼロトラスト原則のエンタープライズ・モビリティへの適用に関する文書について意見募集をしていますね。。。
・2022.03.07 CISA’s Zero Trust Guidance for Enterprise Mobility Available for Public Comment
CISA’s Zero Trust Guidance for Enterprise Mobility Available for Public Comment | CISAによるエンタープライズ・モビリティのためのゼロ・トラスト・ガイダンスがパブリックコメントに |
CISA has released a draft version of Applying Zero Trust Principles to Enterprise Mobility for public comment. The paper guides federal agencies as they evolve and operationalize cybersecurity programs and capabilities, including cybersecurity for mobility. The public comment period will close April 18, 2022. | CISAは、「ゼロトラスト原則のエンタープライズ・モビリティへの適用」のドラフト版を公開し、パブリックコメントを募集しています。この文書は、連邦政府機関がモビリティのためのサイバーセキュリティを含むサイバーセキュリティプログラムと能力を進化させ、運用する際の指針となるものです。パブリックコメント期間は2022年4月18日に終了する予定です。 |
Executive Order 14028: Improving the Nation's Cybersecurity, issued May 12, 2021, requires Federal Civilian Executive Branch departments and agencies to adopt Zero Trust (ZT) architectures to protect the government’s information resources, of which federal mobility is an integral part. The guidance highlights the need for special consideration for mobile devices and associated enterprise security management capabilities due to their technological evolution and ubiquitous use. | 2021年5月12日に発行された「大統領令14028:国家のサイバーセキュリティの改善」は、連邦民間行政府の部局および機関に対し、政府の情報資源を保護するためにゼロトラスト(ZT)アーキテクチャを採用するよう求めており、その一環として連邦モビリティが不可欠となっている。このガイダンスでは、モバイル機器の技術的進化とユビキタスな利用により、モバイル機器と関連する企業のセキュリティ管理機能に対する特別な配慮が必要であることを強調しています。 |
CISA encourages interested parties to review Applying Zero Trust Principles to Enterprise Mobility and provide comment. See CISA Blog: Maturing Enterprise Mobility Towards Zero Trust Architectures for more information. | CISAは、「ゼロトラスト原則のエンタープライズ・モビリティへの適用」を検討し、コメントを提供するよう関係者に呼びかけています。詳細は、CISAブログ:ゼロトラスト・アーキテクチャに向けたエンタープライズ・モビリティの成熟を参照してください。 |
・[PDF] Applying Zero Trust Principles to Enterprise Mobility - Version: DRAFT FOR PUBLIC COMMENT
・[DOCX] 仮訳
1 Introduction | 1 はじめに |
1.1 Purpose | 1.1 目的 |
2 Federal Zero Trust Guidelines | 2 連邦政府ゼロトラストガイドライン |
2.1 National Institute of Standards and Technology Zero Trust Architecture | 2.1 国立標準技術研究所 ゼロトラスト・アーキテクチャ |
2.2 Department of Defense Zero Trust Reference Architecture | 2.2 国防総省 ゼロトラストリファレンス・アーキテクチャ |
2.3 National Security Agency Zero Trust Reference Architecture | 2.3 国家安全保障省 ゼロトラストリファレンス・アーキテクチャ |
2.4 Executive Office of the President, Executive Order on Improving the Nation’s Cybersecurity | 2.4 大統領府 国家のサイバーセキュリティの改善に関する大統領令 |
2.5 Cybersecurity and Infrastructure Security Agency Zero Trust Maturity Model, Draft | 2.5 サイバーセキュリティ・インフラセキュリティ庁 ゼロトラスト成熟度モデル(案) |
2.6 OMB’s Zero Trust Strategy | 2.6 OMBのゼロトラスト戦略 |
3 Currently Available Security Capabilities for Enterprise Mobility | 3 エンタープライズモビリティのための現在利用可能なセキュリティ機能 |
3.1 Enterprise Mobile Security Technologies | 3.1 エンタープライズ・モバイルセキュリティ技術 |
3.2 Operating System Security Capabilities | 3.2 オペレーティングシステムのセキュリティ機能 |
3.3 Hardware Technologies (HRD) | 3.3 ハードウェア技術 (HRD) |
3.4 Ancillary Capability Enablers (ACE) | 3.4 補助的な能力イネーブラ (ACE) |
4 A Crosswalk Between Zero Trust Principles and Secure Enterprise Mobility | 4 ゼロトラスト原則とセキュア・エンタープライズモビリティの交差点 |
4.1 Cross-Cutting Capabilities | 4.1 横断的な能力 |
4.2 Governance | 4.2 ガバナンス |
5 Conclusion and Proposed Next Steps | 5 結論と次のステップの提案 |
Acronyms | 頭字語 |
・2022.03.04 MATURING ENTERPRISE MOBILITY TOWARDS ZERO TRUST ARCHITECTURES
MATURING ENTERPRISE MOBILITY TOWARDS ZERO TRUST ARCHITECTURES | ゼロトラスト・アーキテクチャに向けたエンタープライズ・モビリティの成熟 |
As our adversaries continue to evolve their efforts to compromise networks across all sectors of the economy, the Biden Administration is driving urgent efforts toward a new cybersecurity paradigm. President Biden’s Executive Order on Improving the Nation’s Cybersecurity (EO 14028) focuses on advancing security measures for the federal government that dramatically reduce the risk of successful cyberattacks. In particular, EO 14028 requires federal civilian agencies to establish plans to drive adoption of Zero Trust Architecture. | 敵が経済のあらゆる部門のネットワークを侵害する努力を進化させ続ける中、バイデン政権は新しいサイバーセキュリティのパラダイムに向けた緊急の努力を推進しています。バイデン大統領による国家のサイバーセキュリティの改善に関する大統領令(EO 14028)は、サイバー攻撃の成功リスクを劇的に低減する連邦政府のセキュリティ対策の推進に焦点を当てています。特に、EO 14028は、連邦政府の文民機関がゼロトラストアーキテクチャの採用を推進する計画を策定することを求めています。 |
The Office of Management and Budget (OMB) issued a zero trust (ZT) strategy document in response to the Cybersecurity EO that requires Federal agencies to achieve certain specific ZT goals by the end of Fiscal Year 2024. Mobile devices present unique opportunities and challenges in adopting comprehensive zero trust models. We understand that mobile devices are an integral resource to conducting official business. | 行政管理予算局(OMB)は、サイバーセキュリティの大統領令に対応してゼロトラスト(ZT)戦略文書を発行し、連邦政府機関に対して2024会計年度末までに特定のZT目標を達成するよう要求しています。モバイル機器は、包括的なゼロトラストモデルを採用する上でユニークな機会と課題を提供します。私たちは、モバイルデバイスが公務を遂行する上で不可欠なリソースであることを理解しています。 |
To support federal agencies and other organizations on their journey toward zero trust, CISA has published Applying Zero Trust Principles to Enterprise Mobility. This new publication highlights the need for special consideration for mobile devices and associated enterprise security management capabilities due to their technological evolution and ubiquitous use. The paper further presents architectural frameworks, principles, and capabilities to attain a ZT level set by the adopting organization. It then maps mobile security approaches into ZT principles that an organization can use to align its current mobile security capabilities with a ZT approach. | ゼロ・トラストへの道を歩む連邦政府機関やその他の組織を支援するため、CISAは「ゼロトラスト原則のエンタープライズ・モビリティへの適用)」を発表しました。この新しい出版物は、モバイル機器の技術的進化とユビキタスな使用により、モバイル機器と関連する企業のセキュリティ管理機能に対する特別な配慮の必要性を強調しています。さらに、採用する組織が設定したZTレベルを達成するためのアーキテクチャのフレームワーク、原則、および機能を紹介しています。そして、モバイルセキュリティのアプローチをZTの原則にマッピングし、組織が現在のモバイルセキュリティ能力をZTアプローチに適合させるために利用できるようにします。 |
It is important to note that the mobility ZT paper is not a technical manual or implementation guide for either zero trust or enterprise mobility. Instead, it will guide federal civilian agencies and other organizations through the process of developing and implementing their specific cybersecurity capabilities for enterprise mobility toward adoption of their ZT goals. | このモビリティZT文書は、ゼロトラスト・モビリティやエンタープライズ・モビリティの技術マニュアルや導入ガイドではないことに注意が必要です。その代わりに、連邦政府の民間機関やその他の組織が、ZT目標の採用に向けて、エンタープライズ・モビリティのための特定のサイバーセキュリティ能力を開発し、実装するプロセスを案内するものです。 |
We are also requesting public comment to ensure our guidance enables the best visibility, flexibility, and security. Our intent is to inform federal agencies how ZT principles can be applied to currently-available mobile security technologies that are already adopted in many cases as part of enterprise mobility security programs. | また、私たちのガイダンスが最高の可視性、柔軟性、およびセキュリティを可能にするよう、パブリックコメントを求めています。私たちの意図は、企業のモビリティ・セキュリティ・プログラムの一部として多くの場合すでに採用されている、現在利用可能なモバイル・セキュリティ技術にZTの原則を適用する方法を連邦機関に知らせることです。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書
・2021.11.05 米国 国土安全保障省 拘束力のある運用指令22-01 悪用された既知の脆弱性についての重大なリスクの低減
・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス
・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。
・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある
・2020.08.14 NIST SP 800-207 Zero Trust Architecture
・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)
Comments