カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

こんにちは、丸山満彦です。

カナダ政府のサイバーセキュリティセンター (Canadian Centre for Cyber Security) がゼロトラスト・セキュリティモデルについてのガイドを公表しています

基本的には、CISAのゼロトラストの概念をベースに説明しているものですね。。。

 

● Canada.ca - Canadian Centre for Cyber Security - Cyber security guidance

・2022.11 Zero Trust security model - ITSAP.10.008

 

Zero Trust security model - ITSAP.10.008	ゼロトラスト・セキュリティモデル - ITSAP.10.008
The traditional security model used by organizations to protect information systems focused on perimeter  defense and implicitly trusted anyone inside the corporate network, therefore granting them access to resources. As more governments and enterprises undergo digital transformation, adopt cloud-based technologies and embrace remote/hybrid work, the traditional perimeter-focused defenses are no longer sufficient to protect internal networks and data. This document provides information on Zero Trust (ZT) as a model to address the modern challenges of securing remote workers, protecting hybrid cloud environments and defending against cyber security  threats.	組織が情報システムを保護するために使用している従来のセキュリティモデルは、境界防御に焦点を当て、企業ネットワーク内の誰でも暗黙のうちに信頼し、したがってリソースへのアクセスを許可していた。多くの政府やエンタープライズがデジタル・トランスフォーメーションに取り組み、クラウドベースのテクノロジーを採用し、リモート/ハイブリッドワークを受け入れるようになると、従来の境界を重視した防御では、内部ネットワークとデータを保護するのに十分ではなくなった。本書では、リモートワーカーの保護、ハイブリッドクラウド環境の保護、サイバーセキュリティの脅威からの防御といった現代の課題に対処するモデルとして、ゼロトラスト（ZT）に関する情報を提供する。
What is Zero Trust?	ゼロトラストとは？
The term “Zero Trust” (ZT) does not apply to a single product, technology, or architecture layer. Rather, it represents a security framework for protecting infrastructure and data. ZT’s central tenet is that no subject (application, user, or device) in an information system is trusted by default. Trust must be re-assessed and verified every time a subject requests access to a new resource. The degree of access provided is dynamically adjusted based on the level of trust established with the subject. ZT involves adopting a new mindset to security by always assuming a breach and focusing on resource protection (e.g. services and data). With an ever -changing technology landscape and more sophisticated and persistent cyber threats, the ZT security model can help organizations to significantly improve their cyber defenses.	「ゼロトラスト」（ZT）という用語は、単一の製品、技術、またはアーキテクチャ層に適用されるものではない。むしろ、インフラとデータを保護するためのセキュリティフレームワークを表している。ゼロトラストの中心的な考え方は、情報システム内のいかなる主体（アプリケーション、ユーザー、デバイス）も、デフォルトでは信頼されないということである。信頼は、対象者が新しいリソースへのアクセスを要求するたびに、再評価され検証されなければならない。提供されるアクセスの程度は、対象者との間で確立された信頼度に基づいて動的に調整される。ゼロトラストでは、常に侵害を想定し、リソース（サービスやデータなど）の保護に重点を置くことで、セキュリティに対する新しい考え方を採用する。テクノロジーの状況が刻々と変化し、サイバー脅威がより巧妙かつ持続的になる中、ゼロトラスト・セキュリティモデルは、組織のサイバー防御を大幅に向上させるのに役立つと考えられている。
The Government of Canada (GC) is working on developing a ZT Security Framework that is based on the CISA model and the National Institute of Standards and Technology’s (NIST) special publication. The framework includes ZT concepts and components that can be leveraged by departments and agencies to improve the GC’s overall security posture.	カナダ政府（GC）は、CISA モデルと米国国立標準技術研究所（NIST）の特別出版物に基づく ゼロトラスト・セキュリティフレームワークの開発に取り組んでいる。このフレームワークには、GCの全体的なセキュリティ体制を向上させるために、各省庁が活用できるゼロトラストの概念とコンポーネントが含まれている。
"Never trust, always verify"	決して信用せず、常に検証する
CISA Zero Trust Maturity Model	CISA ゼロトラスト成熟度モデル
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) proposes a ZT model that consists of five pillars and three capabilities. This model is designed to provide organizations with a roadmap and resources to achieve an optimal zero trust environment over time.	米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）は、5つの柱と3つの能力からなるZTモデルを提唱している。このモデルは、最適なゼロトラスト環境を時間をかけて実現するためのロードマップとリソースを組織に提供することを目的としている。
Foundation of Zero Trust	ゼロトラストの基盤
Long description - Foundations of Zero Trust	ゼロトラストの基盤
The image depicts the Zero Trust Maturity Model proposed by the U.S Cybersecurity and Infrastructure Security Agency (CISA). The model for the foundation of zero trust consists of five pillars – Identity, Device, Network/Environment, Application workload and Data. At the base of the model are three capabilities – Visibility and Analytics, Automation and Orchestration, and Governance.	画像は、米国CISAが提唱する「ゼロトラスト成熟度モデル」を描いたものである。ゼロトラストの基礎となるモデルは、「アイデンティティ」「デバイス」「ネットワーク／環境」「アプリケーションのワークロード」「データ」の5つの柱で構成されている。モデルのベースとなるのは、「可視化と分析」「自動化とオーケストレーション」「ガバナンス」の3つの能力である。
Identity. Use phishing -resistant multifactor authentication  (MFA) and continuously validate users and entities throughout their interactions with services or data. Use enterprise-managed identities for both on-premises and cloud environments. Implement least privilege  access.	アイデンティティ：フィッシングに強い多要素認証（MFA）を使用し、サービスやデータとのやり取りを通じてユーザーとエンティティの検証を継続的に行いる。オンプレミス環境とクラウド環境の両方で、エンタープライズ管理されたアイデンティティを使用する。最小権限アクセスを導入する。
Device. Establish baseline device security protections. Continuously monitor and validate device security. Use machine learning analytics to make access control  decisions for services and data. Conduct regular inventory of devices.	デバイス：デバイスのセキュリティ保護に関する基本方針を確立する。デバイス・セキュリティの継続的な監視と検証を行う。サービスやデータへのアクセス制御を決定するために、機械学習分析を使用する。デバイスの定期的なインベントリを実施する。
Network/Environment. Utilize micro-segmentation to isolate critical data from other data. Control privileged network access, manage data flows (internal and external) and encrypt all traffic and connections.	ネットワーク／環境：マイクロセグメンテーションを活用し、重要なデータを他のデータから分離する。特権的なネットワークアクセスを制御し、データの流れ（内部および外部）を管理し、すべてのトラフィックと接続を暗号化する。
Application workload. Continuously authorize access to applications. Strongly integrate threat protections into application workflows. Integrate application security testing throughout the development and deployment process.	アプリケーションのワークロード：アプリケーションへのアクセスを継続的に認証する。アプリケーションのワークフローに脅威防御を強力に統合する。開発・導入プロセス全体を通じてアプリケーションのセキュリティテストを実施する。
Data. Protect data on devices, in applications and in networks. Inventory, categorize and label data, and deploy mechanisms to detect data exfiltration . Encrypt all data at rest or in transit (in cloud or remote environments).	データ：デバイス、アプリケーション、ネットワーク上のデータを保護する。データのインベントリ化、分類、ラベル付けを行い、データの流出を検出する仕組みを導入する。クラウドやリモート環境において、保存時または転送時のすべてのデータを暗号化する。
Visibility and analytics. Utilize tools like advanced security analytics platforms, and security user behaviour analytics to observe and analyze real-time user behaviour, service and device health. Log and analyze all access events for suspicious behaviours.	可視化と分析：高度なセキュリティ分析プラットフォームやセキュリティユーザ行動分析などのツールを活用し、ユーザの行動、サービス、デバイスの健全性をリアルタイムで観察・分析する。すべてのアクセスイベントをログに記録し、不審な行動がないか分析する。
Automation and orchestration. Automate security and network operational processes by managing functions between all the security systems and applications. Implement just-in-time and just-enough access controls. Automatically enforce strict access controls for high-value data.	自動化とオーケストレーション：すべてのセキュリティ・システムとアプリケーション間の機能を管理することにより、セキュリティとネットワークの運用プロセスを自動化する。ジャストインタイム、ジャストエネスティアクセスコントロールの実現 高価値のデータに対して、厳格なアクセス制御を自動的に実施する。
Governance. Automate enforcement of data protections required by policy. Use automated discovery of networks, devices and services with manual or dynamic authorization  and automated remediation of unauthorized entities.	ガバナンス：ポリシーに基づくデータ保護の実施を自動化する。ネットワーク、デバイス、サービスの自動検出と、手動または動的な承認、および未承認エンティティの自動修復を使用する。
What are the benefits with ZT?	ゼロトラストの利点は何か？
While there is no perfect security strategy and some form of cyber threats will always exist, ZT is an effective approach to increase an organization’s cyber security posture for today's digital transformation. Some of the benefits of ZT includes:	完璧なセキュリティ戦略は存在せず、何らかのサイバー脅威は常に存在するが、ゼロトラストは今日のデジタルトランスフォーメーションのために組織のサイバーセキュリティ態勢を強化するための効果的なアプローチである。ゼロトラストの利点には、以下のようなものがある。
Increases network security. Every digital interaction (e.g user connecting to an application) is verified and authorized continuously to ensure conditional requirements of an organization's security policies are met. Coupled with network segmentation and strong user and device authentication, this will improve overall network security.	ネットワークセキュリティの強化：すべてのデジタル操作（ユーザーがアプリケーションに接続するなど）は、継続的に検証・承認され、組織のセキュリティポリシーの条件要件が満たされていることが確認される。ネットワークのセグメンテーション、強力なユーザーおよびデバイス認証と組み合わせることで、ネットワーク全体のセキュリティを向上させることができる。
Reduces impact from data breach. Smaller trust zones mean cyber threat actors need to be authenticated and authorized to a new security boundary each time they access a different resource. This would limit their lateral movement across the network and reduce potential harm from a data breach.	データ漏洩による影響を軽減する：信頼区間が狭いということは、サイバー脅威者が異なるリソースにアクセスするたびに、新たなセキュリティ境界で認証・認可を受ける必要があることを意味する。これにより、ネットワーク上での横方向の動きが制限され、データ流出による潜在的な被害が軽減される。
Improves data protection. ZT leverages technologies such as strong encryption, VPNs and data loss prevention capabilities to protect all data at rest or in motion.	データ保護を向上させる：ゼロトラストは、強力な暗号化、VPN、データ損失防止機能などの技術を活用し、静止状態または移動中のすべてのデータを保護する。
Achieves continuous compliance. By improving visibility of who, what, and where, ZT enables network operators to more closely log behavior and activities to verify compliance to policies.	継続的なコンプライアンスを実現する：ゼロトラストは、誰が、何を、どこで行ったかの可視性を向上させることで、ネットワーク事業者がより詳細に行動やアクティビティを記録し、ポリシーへの準拠を確認することを可能にする。
Improve visibility, detection and response. Automatic logging and monitoring of cyber related events from user devices and services gives an overall real-time view of the environment. Analytics improves visibility for network operators to develop proactive security measures before incidents occur or to quickly respond to threats.	可視化、検知、対応の改善：ユーザーデバイスやサービスからのサイバー関連イベントの自動ログ収集と監視により、環境全体をリアルタイムに把握することができる。アナリティクスによって可視性が向上するため、ネットワーク事業者は、インシデントが発生する前に予防的なセキュリティ対策を策定したり、脅威に迅速に対応したりすることができる。
Enables modernization of the workforce with a secure solution. ZT enables new ways of working by securely connecting users, devices, applications and services over any network (on-premises, public cloud or hybrid environment) using identity-based validation policies.	安全なソリューションでワークフォースの近代化を可能にする：ゼロトラストは、IDベースの検証ポリシーを使用して、あらゆるネットワーク（オンプレミス、パブリッククラウド、ハイブリッド環境）上でユーザー、デバイス、アプリケーション、サービスを安全に接続することにより、新しい働き方を可能にする。
What are the challenges with ZT?	ゼロトラストの課題は何か？
Organizations looking to improve their security posture with ZT will need to consider some challenges they may face which include:	ゼロトラストを利用してセキュリティ体制を改善しようとする組織は、以下のような課題を考慮する必要がある。
Increased time and effort to strongly authenticate every user and device using two factor authentication. Significant technical and administrative work across organizations is needed to define and implement detailed attributes of every user and resource to support trust/access decisions.	二要素認証を使用して、すべてのユーザーとデバイスを強力に認証するための時間と労力が増加する。信頼性/アクセスに関する決定をサポートするために、すべてのユーザーとリソースの詳細な属性を定義し、実装するために、組織全体でかなりの技術的および管理的作業が必要になる。
Increased organizational focus and commitment will be needed over multiple years which could make ZT difficult to achieve. ZT affects multiple levels of infrastructure and operations, all of which require tight coordination to succeed.	複数年にわたる組織的な取り組みが必要であり、その結果、ゼロトラストの実現が困難になる可能性がある。ZTは複数のレベルのインフラと運用に影響するため、成功させるためには緊密な連携が必要となる。
Increased chance of being locked into a long-term commitment with cloud providers’ proprietary systems. Organizations with multi-cloud solutions may encounter such challenges since ZT is a framework and not an industry standard. Partnership with commercial cloud providers is key to properly understand the organization’s business and security objectives in order to select the appropriate solution.	クラウドプロバイダーの独自システムに長期的に拘束される可能性が高くなる。 ゼロトラストはフレームワークであり、業界標準ではないため、マルチクラウドを導入している企業は、このような課題に直面する可能性がある。適切なソリューションを選択するためには、組織のビジネスとセキュリティの目標を正しく理解するために、商用クラウドプロバイダーとの連携が重要である。
How to transition to a ZT security model?	ゼロトラスト・セキュリティ・モデルに移行するには？
To improve your organization’s cyber security posture consider implementing the following steps as a starting point in your transition towards ZT:	組織のサイバーセキュリティ体制を向上させるには、ゼロトラストへの移行の出発点として、次のステップの実施を検討すること。
Enforce strong MFA. Aim for Level of Assurance (LoA) 3. Check out our publication for more details on User authentication guidance for information technology systems (ITSP.30.031 v3).	強力なMFAを実施する。 情報技術システムのためのユーザー認証ガイダンス（ITSP.30.031 v3）の詳細については、当局の出版物を参照すること。
Grant access based on user and device information and not only logical location. Use multiple data points (e.g identity, location, device health, resource, data classification, and anomalies) to make security decisions.	論理的な位置だけでなく、ユーザとデバイスの情報に基づいてアクセスを許可する。複数のデータポイント（ID、位置情報、デバイスの状態、リソース、データの分類、異常など）を使用して、セキュリティの決定を行う。
Employ just-in-time (JIT) and just-enough access (JEA) risk-based adaptive policies to implement least privilege access.	適時（JIT）および本当に必要なだけのアクセス（JEA）：リスクベースの適応型ポリシーを採用し、最小権限アクセスを実現する。
Use dedicated devices, Privileged Access Workstations (PAW) and Secured Admin Workstations (SAW) to separate sensitive tasks and accounts from non-administrative computer uses, such as email and web browsing.	専用デバイス、特権アクセスワークステーション（PAW）、保護された管理者ワークステーション（SAW）を使用して、機密性の高いタスクやアカウントを、電子メールやWebブラウジングなどの管理者以外のコンピュータ使用から切り離する。
Learn more about ZT architecture, frameworks and guidelines:	ゼロトラストのアーキテクチャ、フレームワーク、ガイドラインの詳細については、こちらを参照。
NIST SP 800-207: Zero Trust Architecture	NIST SP 800-207: ゼロトラスト・アーキテクチャ
NIST SP 1800-35: Implementing a Zero Trust Architecture (preliminary draft)	NIST SP 1800-35: ゼロトラスト・アーキテクチャの実装（初期ドラフト）
CISA’s Zero Trust Maturity Model	CISA ゼロトラスト成熟度モデル
National Cyber Security Centre—UK, "Zero trust architecture design principles"	英国国立サイバーセキュリティセンター：ゼロトラストアーキテクチャ設計原則
Australian Cyber Security Centre Australia&nbps;- Essential Eight Maturity Model	オーストラリア・サイバーセキュリティセンター：オーストラリアの基本的８つの成熟度モデル

 

・[PDF] Zero Trust security model

---

 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.11.30 米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. C, D)

・2022.07.13 IPA ゼロトラスト移行のすゝめ （IPA 産業サイバーセキュリティセンター 中核人材育成プログラム 5期生 ゼロトラストプロジェクト）

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. A)

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画：連邦政府管理者向け計画策定ガイド

・2022.04.19 Cloud Security Alliance　ソフトウェア定義境界 (SDP) とドメインネームシステム (DNS) の統合：強化されたゼロトラストポリシーの適用 (2022.04.12)

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2021.10.29 Cloud Security Alliance: ゼロトラスト・アーキテクチャーに向けて

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.07.27 NISTのNCCoEがゼロトラスト・アーキテクチャ・プロジェクトの実装に参加する18社を指名していますね。。。

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.06.29 ゼロトラスト指南書 IPA 産業サイバーセキュリティセンター 中核人材育成プログラム 4期生 ゼロトラストプロジェクト

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.04.19 複式簿記・会計システムとゼロトラスト・アーキテクチャ、そして収斂進化

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.05.28 CSAがソフトウェア定義の境界（SDP）を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。