米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)
こんにちは、丸山満彦です。
米国国防総省がゼロトラスト戦略とロードマップを公表していますね。。。
2027年に向けて。。。と言う感じですね。。。
しかし、CIOの図書館の情報はたくさんありますね。。。
● U.S. Department of Defense - Chief Information Officer Library
・2022.11.17 [PDF] DoD Zero Trust Strategy
目次...
| Executive Summary | エグゼクティブサマリー |
| Introduction | 序文 |
| Vision | ビジョン |
| DoD Zero Trust Approach | 国防総省のゼロ・トラスト・アプローチ |
| Strategic Assumptions | 戦略的前提 |
| Strategic Goals and Objectives | 戦略的な目標と目的 |
| Execution Approach | 実行アプローチ |
| Summary | 概要 |
| APPENDIX A: DoD Zero Trust Capabilities (Target & Advanced Levels) | 附属書 A:国防総省のゼロ・トラスト能力(目標レベル、上級レベル) |
| APPENDIX B: DoD Zero Trust Activities (Target & Advanced Levels) | 附属書 B:国防総省のゼロ・トラスト活動(目標レベル、上級レベル) |
| APPENDIX C: DoD Zero Trust Capability Roadmap (by Fiscal Year) | 附属書 C:国防総省のゼロ・トラスト・ケイパビリティ・ロードマップ(年度別) |
| APPENDIX D: DoD Zero Trust Strategic and Execution Milestones (FY2023 – FY2024) | 附属書 D.国防総省のゼロ・トラスト戦略及び実行マイルストーン(2023年度~2024年度) |
| APPENDIX E: References | 附属書 E:参考文献 |
| APPENDIX F: Acronyms / Definitions | 附属書 F:略語/定義 |
エグゼクティブサマリー
| Executive Summary | エグゼクティブサマリー |
| "Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life." | 「漸進的な改善では、私たちが必要とする安全保障を得ることはできない。連邦政府は、米国の生活様式を支える重要な制度を守るために、大胆な変更と大規模な投資を行う必要がある。」 |
| — Executive Order on Improving the Nation’s Cybersecurity 12 May 2021 | ・国家のサイバーセキュリティの改善に関する大統領令 2021年5月12日 |
| Five Years into the Future | 5年後の未来へ |
| The Department of Defense's (DoD) risk-based Zero Trust Framework employed across the Joint Force and the defense ecosystem protects our information systems[1] from increasingly sophisticated attacks as our adversaries seek to affect our warfighters and DoD mission success. Zero Trust principles are now integrated into each of the five cybersecurity functions that represent key elements of a successful and holistic cybersecurity program – Identify, Protect, Detect, Respond, and Recover.[2] As a result, DoD will successfully mitigate attempts to deny, degrade, disrupt, deceive, or destroy our information systems. Operators at all levels are confident that the data accessed, the assets deployed, the applications used, and the services provided are secured and resilient. | 統合軍と防衛エコシステムに採用されている国防総省(DoD)のリスクベースのゼロ・トラスト・フレームワークは、敵が戦闘員と国防総省のミッションの成功に影響を与えようとする中、ますます巧妙になる攻撃から我々の情報システム[1]を保護する。ゼロ・トラストの原則は、現在、成功した全体的なサイバーセキュリティ・プログラムの重要な要素である、識別、保護、検出、対応、回復の5つのサイバーセキュリティ機能のそれぞれに統合されている。 その結果、国防省は、情報システムを拒否、劣化、混乱、欺瞞、破壊しようとする試みをうまく軽減することができるようになった。あらゆるレベルのオペレーターは、アクセスするデータ、配備された資産、使用するアプリケーション、提供するサービスが安全でレジリエンスに優れていると確信している。 |
| Today | 今日 |
| The Department's Information Enterprise is under wide scale and persistent attack from known and unknown malicious actors. The Department’s most consequential strategic competitor and the pacing challenge for the Department, the People’s Republic of China,[3] as well as other state-sponsored adversaries and individual malicious actors often breach the Department’s defensive perimeter and roam freely within our information systems. The Department must act now. | 米国防総省の情報エンタープライズは、既知および未知の悪質な行為者から大規模かつ持続的な攻撃を受けている。米国防省にとって最も重要な戦略的競合相手であり、ペースメーカーでもある中華人民共和国[3]をはじめ、国家が支援する敵対勢力や個人の悪質な行為者が国防総省の防衛境界を突破し、情報システムの中を自由に動き回ることがよくある。国防総省は今すぐ行動を起こさなければならない。 |
| Vulnerabilities exposed by data breaches inside and outside the Department of Defense demonstrate the need for a new, more robust cybersecurity framework that facilitates well-informed risk-based decisions.[4] Zero Trust security eliminates the traditional idea of perimeters, trusted networks, devices, personas, or processes and shifts to multi-attribute-based levels of confidence that enable authentication and authorization policies founded on the concept of least privileged access. Implementing the Zero Trust Framework requires designing a more efficient architecture that enhances security, the user experience, and overall mission performance. | 国防総省内外のデータ侵害によって露呈した脆弱性は、十分な情報に基づくリスクベースの意思決定を促進する、より堅牢な新しいサイバーセキュリティの枠組みの必要性を示している[4]。ゼロトラストセキュリティは、従来の境界、信頼できるネットワーク、デバイス、人物、プロセスという考え方を排除し、最小特権アクセスの概念に基づいた認証および承認ポリシーを可能にする複数属性ベースの信頼レベルへとシフトする。Zero Trustフレームワークを導入するには、セキュリティ、ユーザーエクスペリエンス、ミッションパフォーマンス全体を向上させる、より効率的なアーキテクチャを設計する必要がある。 |
| Zero Trust uses continuous multi-factor authentication, micro-segmentation, advanced encryption, endpoint security, analytics, and robust auditing, among other capabilities, to fortify data, | ゼロ・トラストは、継続的な多要素認証、マイクロセグメンテーション、高度な暗号化、エンドポイントセキュリティ、分析、堅牢な監査などの機能を使って、データを強化する。 |
| applications, assets, and services to deliver cyber resiliency. The Department is evolving to become a more agile, more mobile, cloud-supported workforce, collaborating with the entirety of DoD enterprise, including federal and non-federal organizations and mission partners working on a variety of missions. The Zero Trust Framework will reduce the attack surface, reduce risk, offer opportunities to manage the full range of risks (e.g., policy, programming, budgeting, execution, cybersecurity-specific, and others) and enable more effective data-sharing in partnership environments. It will also ensure that any adversary damage is quickly contained and remediated if a device, network, user, or credential is compromised. | データ、アプリケーション、資産、サービスを強化し、サイバーレジリエンスを実現する。国防総省は、より機敏に、よりモバイルに、クラウドをサポートする労働力となるべく進化しており、さまざまなミッションに取り組む連邦政府と非連邦政府組織、ミッションパートナーを含む国防総省エンタープライズ全体と協働している。ゼロ・トラスト・フレームワークは、攻撃対象領域を減らし、リスクを低減し、あらゆるリスク(政策、計画、予算、実行、サイバーセキュリティ特有のもの、その他)を管理する機会を提供し、パートナーシップ環境においてより効果的なデータ共有を可能にするものである。また、デバイス、ネットワーク、ユーザー、クレデンシャルが侵害された場合、敵の被害を迅速に食い止め、修復できるようにする。 |
| This strategy lays out the Department's vision for Zero Trust and sets a path to achieve it. It includes the strategic assumptions and principles that will inform and guide the adoption of ZT and the strategic goals and objectives. The four strategic goals outlined in this strategy are: 1. Zero Trust Culture Adoption, 2. DoD Information Systems Secured and Defended, 3. Technology Acceleration, and 4. Zero Trust Enablement. The strategy also refers to the seven DoD Zero Trust Pillars, which is the basis for the strategy's Zero Trust Capability Roadmap, a capabilities-based execution plan, and the DoD Zero Trust and Cybersecurity Reference Architectures. Finally, this strategy provides highlevel guidance on resourcing and acquisition, measurement and metrics, and governance. The appendices include strategic and execution milestones, as well as references and definitions. | この戦略では、ゼロ・トラストに対する省庁のビジョンを示し、それを達成するための道筋を定めている。この戦略には、ZT の導入に情報を提供し導く戦略的前提および原則と、戦略的目標および目的が含まれている。この戦略で概説されている4つの戦略目標は以下の通りである。1. ゼロ・トラスト文化の採用、2. DoD情報システムの安全確保と防衛、3. テクノロジーの加速、4. ゼロ・トラストの実現である。Zero Trust Enablement(ゼロ・トラストの実現)である。また、この戦略では、7つのDoD Zero Trust Pillarsに言及しており、これは、この戦略のZero Trust Capability Roadmap、能力ベースの実行計画、DoD Zero Trust and Cybersecurity Reference Architecturesの基礎になっている。最後に、この戦略は、人材調達と買収、測定とメトリック、およびガバナンスに関するハイレベルなガイダンスを提供する。附属書には、戦略および実行のマイルストーン、参考文献、定義が記載されている。 |
| To accelerate Zero Trust implementation within the DoD Information Enterprise, the Department must continue to examine how to streamline and enforce resource priorities to meet the requirements envisioned by this strategy. In January 2022, the DoD CIO established a Zero Trust Portfolio Management Office (PfMO) to orchestrate DoD-wide Zero Trust execution, simplify and streamline existing policies and coordinate the prioritization of resources to accelerate Zero Trust adoption within the DODIN enterprise. | 国防総省の情報エンタープライズにおけるゼロ・トラストの実施を加速するために、同省は、この戦略で想定される要件を満たすために、リソースの優先順位を合理化して実施する方法を引き続き検討する必要がある。2022年1月、国防総省CIOは、国防総省全体のゼロ・トラスト実行を指揮し、既存のポリシーを簡素化して合理化し、リソースの優先順位を調整して、DODINエンタープライズ内のゼロ・トラスト導入を加速するために、ゼロ・トラスト・ポートフォリオ管理オフィス(PfMO)を設立した。 |
| Figure 1 below depicts a concise view of the vision, goals, and objectives the Department will achieve by implementing the strategy.[5] | 以下の図1は、戦略を実施することによって国防総省が達成するビジョン、目標、目的を簡潔に表したものである[5]。 |
| Figure 1. DoD Zero Trust Strategy-at-a-Glance | 図1. DoDゼロトラスト戦略-一覧 |
 |
|
| [1] Information system includes “a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information”. See DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p. 17. | [1] 情報システムには、「情報の収集、処理、維持、使用、共有、普及、または処分のために組織された情報資源の個別の集合」が含まれる。DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p.17 を参照のこと。 |
| [2] See US National Institute of Standards and Technology (NIST), Special Publication 1271, Getting Started with the NIST Cybersecurity Framework: A Quick Start Guide, 6 August 2021, for descriptions of cybersecurity core functions and a set of guidelines for mitigating organizational cybersecurity risks. | [2] 米国国立標準技術研究所(NIST)、特別刊行物 1271、Getting Started with the NIST Cybersecurity Framework を参照すること。A Quick Start Guide, 6 August 2021, サイバーセキュリティの中核機能の説明と、組織のサイバーセキュリティリスクを軽減するためのガイドライン一式を参照。 |
| [3] Fact Sheet: 2022 National Defense Strategy, 28 March 2022. | [3] ファクトシート。2022年国家防衛戦略、2022年3月28日。 |
| [4] Risk” refers to probability of an undesired event or condition and 2) the consequences, impact, or severity of the undesired event, were it to occur. See DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p. 3 | [4] リスクとは、望ましくない事象や状態の発生確率と、2)望ましくない事象が発生した場合の結果、影響、または重大性のことである。DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p.3 を参照。 |
| 21-Oct-22 | 21-Oct-22 |
| [5] See Figure 4 in this document for an outcome description of each goal and objective. | [5] 各目標と目的の成果の説明については、本書の図 4 を参照のこと。 |
| 21-Oct-22 | 10月21日-22日 |
プレス...
・2022.11.22 Department of Defense Releases Zero Trust Strategy and Roadmap
| Department of Defense Releases Zero Trust Strategy and Roadmap | 国防総省がゼロ・トラスト戦略とロードマップを発表 |
| Today, the Department of Defense released the Department of Defense Zero Trust Strategy and Roadmap. | 本日、国防総省は「国防総省のゼロ・トラスト戦略とロードマップ」を発表した。 |
| Current and future cyber threats and attacks drive the need for a Zero Trust approach that goes beyond the traditional perimeter defense approach. The Department intends to implement distinct Zero Trust capabilities and activities as outlined in the strategy and associated Roadmap by FY27. | 現在および将来のサイバー脅威と攻撃は、従来の境界防御のアプローチを超えたゼロ・トラスト・アプローチの必要性を促している。国防総省は、この戦略および関連するロードマップで説明されているように、明確なゼロ・トラスト能力と活動を27年度までに実施する意向である。 |
| The strategy envisions a DoD Information Enterprise secured by a fully implemented, Department-wide Zero Trust cybersecurity framework that will reduce the attack surface, enable risk management and effective data-sharing in partnership environments, and quickly contain and remediate adversary activities. | この戦略は、完全に実装された省全体のゼロ・トラスト・サイバーセキュリティの枠組みによって保護された国防総省の情報エンタープライズを想定しており、攻撃対象を減らし、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を迅速に抑制・是正するものである。 |
| The strategy outlines four high-level and integrated strategic goals that define what the Department will do to achieve its vision for ZT: | この戦略では、ZT のビジョンを達成するために省が何を行うかを定義する、4 つのハイレベルで統合的な戦略目標が概説されている。 |
| • Zero Trust Cultural Adoption – All DoD personnel are aware, understand, are trained, and committed to a Zero Trust mindset and culture and support integration of ZT. | ・ゼロ・トラスト文化の採用:国防総省の全職員がゼロ・トラストの考え方と文化について認識,理解,訓練され,ZTの統合を支援する。 |
| • DoD information Systems Secured and Defended – Cybersecurity practices incorporate and operationalize Zero Trust in new and legacy systems. | ・国防総省の情報システムの保護と防御:サイバーセキュリティの実践により、新規およびレガシーシステムにゼロ・トラストが組み込まれ、運用される。 |
| • Technology Acceleration – Technologies deploy at a pace equal to or exceeding industry advancements. | ・技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。 |
| • Zero Trust Enablement – Department- and Component-level processes, policies, and funding are synchronized with Zero Trust principles and approaches. | ・ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、および資金がゼロ・トラストの原則とアプローチに同期している。 |
| Implementing Zero Trust will be a continuous process in the face of evolving adversary threats and new technologies. Additional Zero Trust enhancements will be incorporated in subsequent years as technology changes and our Nation's adversaries evolve. | ゼロ・トラストの導入は、進化する敵の脅威や新しい技術に直面する継続的なプロセスである。ゼロ・トラストの追加的な強化は、技術の変化や我が国の敵の進化に合わせて、次年度以降に取り入れられる予定である。 |
| The Department of Defense Zero Trust Strategy and Roadmap can be found at the DoD CIO library. | 国防総省のゼロ・トラスト戦略とロードマップは、国防総省CIOライブラリで見ることができる。 |
・ブログ
・2022.11.28 DOD Releases Path to Cyber Security Through Zero Trust Architecture
| DOD Releases Path to Cyber Security Through Zero Trust Architecture | DOD、ゼロ・トラスト・アーキテクチャーによるサイバーセキュリティへの道筋を発表 |
| The Defense Department on Tuesday released its Zero Trust Strategy and Roadmap, which spells out how it plans to move beyond traditional network security methods to achieve reduced network attack surfaces, enable risk management and effective data-sharing in partnership environments, and contain and remediate adversary activities over the next five years. | 国防総省は火曜日、「ゼロ・トラスト戦略およびロードマップ」を発表した。これは、今後5年間で、従来のネットワークセキュリティ手法を越えて、ネットワーク攻撃面の削減を実現し、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を封じ込めて修復する計画について明記しているものである。 |
| "Zero trust is a framework for moving beyond relying on perimeter-based cybersecurity defense tools alone and basically assuming that breach has occurred within our boundary and responding accordingly," David McKeown, the department's acting chief information officer, said. | 「ゼロトラストは、境界ベースのサイバーセキュリティ防御ツールだけに頼るのではなく、基本的に我々の境界内で侵害が発生したと仮定し、それに応じて対応するための枠組みである」と、同省の最高情報責任者代理であるデデヴィット・マッキューン氏は述べた。 |
| McKeown said the department has spent a year now developing the plans to get the department to a zero trust architecture by fiscal year 2027. Included in that effort was development of a Zero Trust Portfolio Management Office, which stood up earlier this year. | マッキューンは、同省が2027会計年度までにゼロ・トラスト・アーキテクチャーを実現するための計画を策定するのに1年を費やしたことを明らかにした。その努力に含まれるのが、今年初めに立ち上がったゼロトラスト・ポートフォリオ管理オフィスの開発だ。 |
| "With the publication of this strategy we have articulated the 'how' that can address clear outcomes of how to get to zero trust — and not only accelerated technology adoption, as discussed, but also a culture of zero trust at DOD and an integrated approach at the department and the component levels." | この戦略の発表により、我々はゼロトラストに到達するための明確な成果、つまり議論されているような技術導入の加速だけでなく、DODにおけるゼロトラストの文化や、部門およびコンポーネントレベルでの統合的アプローチに対応できる「方法」を明確にした。" |
| Getting the Defense Department to reach the goals laid out in the Zero Trust Strategy and Roadmap will be an "ambitious undertaking," McKeown said. | 国防総省がゼロトラスト戦略とロードマップで示された目標に到達することは、「野心的な事業」になるとマッキューン氏は述べている。 |
| Ensuring that work will largely be the responsibility of Randy Resnick, who serves as the director of the Zero Trust Portfolio Management Office. | その作業を確実にするのは、ゼロトラスト・ポートフォリオ管理室のディレクターを務めるランディー・レスニック氏の責任が大きい。 |
| "With zero trust, we are assuming that a network is already compromised," Resnick said. "And through recurring user authentication and authorization, we will thwart and frustrate an adversary from moving through a network and also quickly identify them and mitigate damage and the vulnerability they may have exploited." | 「ゼロトラストでは、ネットワークがすでに侵害されていることを想定している。「そして、ユーザー認証と認可を繰り返し行うことで、敵対者がネットワークを通過するのを阻止し、挫折させるとともに、敵対者を迅速に特定し、被害や彼らが悪用した可能性のある脆弱性を軽減するのである」。 |
| Spotlight: Engineering in the DOD | スポットライト 国防総省におけるエンジニアリング |
| Resnick explained the difference between a zero trust architecture and security on the network today, which assumes a level of trust for anybody already inside the network. | レスニック氏は、ゼロ・トラスト・アーキテクチャーと、すでにネットワーク内にいる人をある程度信頼することを前提とした現在のネットワーク・セキュリティの違いを説明した。 |
| "If we compare this to our home security, we could say that we traditionally lock our windows and doors and that only those with the key can gain access," he said. "With zero trust, we have identified the items of value within the house and we place guards and locks within each one of those items inside the house. This is the level of security that we need to counter sophisticated cyber adversaries." | 「これを家庭のセキュリティに例えると、従来は窓やドアに鍵をかけて、鍵を持っている人だけがアクセスできるようにしていたと言えるでしょう」と、同氏は述べた。「ゼロトラストでは、家の中にある価値あるものを特定し、その一つひとつにガードやロックを設置する。これが、高度なサイバー敵に対抗するために必要なセキュリティレベルである。」 |
| The Zero Trust Strategy and Roadmap outlines four high-level and integrated strategic goals that define what the department will do to achieve that level of security. These include: | ゼロトラスト戦略とロードマップは、そのレベルのセキュリティを達成するために同省が何をするかを定義する、4つのハイレベルで統合的な戦略目標の概要を示している。その内容は以下の通りである。 |
| Zero Trust Cultural Adoption — All DOD personnel understand and are aware, trained, and committed to a zero trust mindset and culture to support integration of zero trust. | ゼロ・トラスト文化の採用:すべてのDOD職員はゼロ・トラストの統合をサポートするために、ゼロ・トラストの考え方と文化を理解し、認識し、訓練され、コミットされる。 |
| DOD information Systems Secured and Defended — Cybersecurity practices incorporate and operationalize zero trust in new and legacy systems. | DOD情報システムの保護と防衛:サイバーセキュリティの実践は、新規およびレガシーシステムにゼロトラストを組み込み、運用する。 |
| Technology Acceleration — Technologies deploy at a pace equal to or exceeding industry advancements. | 技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。 |
| Zero Trust Enablement — Department- and component-level processes, policies, and funding are synchronized with zero trust principles and approaches. | ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、資金が、ゼロ・トラストの原則とアプローチに同期している。 |
| Resnick said development of the Zero Trust Strategy and Roadmap was done in collaboration with the National Security Agency, the Defense Information Systems Agency, the Defense Manpower Data Center, U.S. Cyber Command and the military services. | レズニック氏によると、ゼロトラスト戦略とロードマップの開発は、国家安全保障局、国防情報システム局、国防人材データセンター、米サイバー司令部、軍サービスとの協力で行われたとのこと。 |
| The department and its partners worked together to develop a total of 45 capabilities and more than 100 activities derived from those capabilities, many of which the department and components will be expected to be involved in as part of successfully achieving baseline, or "target level" compliance with zero trust architecture within the five-year timeline, Resnick said. | レスニック氏によると、同省とそのパートナーは、合計45の能力と、それらの能力から派生する100以上の活動を開発した。これらの多くは、5年間のスケジュール内でゼロトラストアーキテクチャのベースライン、つまり「目標レベル」のコンプライアンスを成功させる一環として、同省とコンポーネントが関与することが期待されるものである。 |
| "Each capability, the 45 capabilities, resides either within what we're calling 'target,' or 'advanced' levels of zero trust," he said. "DOD zero trust target level is deemed to be the required minimum set of zero trust capability outcomes and activities necessary to secure and protect the department's data, applications, assets and services, to manage risks from all cyber threats to the Department of Defense." | 各能力(45の能力)は、ゼロ・トラストの「目標」または「高度」レベルと呼ばれる範囲に存在する」と彼は言う。「DODゼロトラスト・ターゲット・レベルは、国防総省に対するあらゆるサイバー脅威のリスクを管理し、同省のデータ、アプリケーション、資産、サービスを安全に保護するために必要なゼロトラスト能力の成果および活動の必要最小限のセットと見なされる。 |
| Across the department, every agency will be expected to comply with the target level implementation outlined in the Zero Trust Strategy and Roadmap. Only a few might be expected to achieve the more advanced level. | 国防総省全体では、すべての機関がゼロ・トラスト戦略とロードマップで示された目標レベルの実施に準拠することが期待される。より高度なレベルを達成することが期待されるのは、ほんの一握りかもしれない。 |
| "If you're a national security system, we may require the advanced level for those systems," McKeown said. "But advanced really isn't necessary for literally every system out there. We have an aggressive goal getting to 'targeted' by 2027. And we want to encourage those who have a greater need to secure their data to adopt this advanced level." | 「国家安全保障のシステムであれば、上級レベルを要求することもある」とマッキューン氏は言う。「しかし、アドバンストレベルは、文字通りすべてのシステムに対して必要なものではない。私たちは、2027年までに "Targeted "に到達するという積極的な目標を持っている。そして、データを安全に保護する必要性が高い人たちには、このアドバンスドレベルを採用するよう促したいと考えている」。 |
| Resnick said achieving the target level of zero trust isn't equivalent to a lower standard for network security. | レズニックは、ゼロトラストの目標レベルを達成することは、ネットワークセキュリティの基準を下げることと等価ではないと述べている。 |
| "We defined target as that level of ability where we're actually containing, slowing down or stopping the adversary from exploiting our networks," he said. "Compared to today, where an adversary could do an attack and then go laterally through the network, frequently under the noise floor of detection, with zero trust that's not going to be possible." | 「私たちは、敵対者が私たちのネットワークを悪用するのを実際に封じ込め、減速させ、阻止する能力のレベルを目標と定義した。「敵対者が攻撃を行い、ネットワーク内を横方向に移動し、頻繁に検出のノイズフロアの下を通過することができる今日と比較すると、信頼ゼロでは、それは不可能になります。 |
| By 2027, Resnick said, the department will be better poised to prevent adversaries from attacking the DOD network and minimize damage if it does occur. | 2027年までには、敵対者がDODネットワークを攻撃するのを防ぎ、万が一攻撃が発生しても被害を最小限に抑える態勢が整うだろうと、レズニックは述べている。 |
| "The target level of zero trust is going to be that ability to contain the adversary, prevent their freedom of movement, from not only going laterally but being able to even see the network, to enumerate the network, and to even try to exploit the network," he said. | 「ゼロ・トラストの目標レベルは、敵対者を封じ込め、敵対者が横方向に移動するだけでなく、ネットワークを見ることも、ネットワークを列挙することも、ネットワークを悪用しようとすることもできないようにすることだ」と彼は言う。 |
| If later on more is needed, he said, the requirements for meeting the target level of compliance can be adjusted. | もし、後でもっと必要なものが出てくれば、目標レベルのコンプライアンスを満たすための要件を調整することができるという。 |
| "Target will always remain that level to which we're seeing and stopping the adversary," he said. "And for the majority of the DOD, that's really our goal." | 「目標は常に、敵対者を確認し、阻止するレベルであることに変わりはありません。そして、国防総省の大部分にとって、それが我々の本当の目標なのである。」 |
・2022.11.15 [PDF] Zero Trust Capability Execution Roadmap
・Zero Trust Strategy Placemats
・2022.07 [PDF] Department of Defense (DoD) Zero Trust Reference Architecture Version 2.0
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書
・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書
・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。
Comments