米国 NSA データ・ピラー全体でゼロトラストの成熟度を進める (2024.04.09)
こんにちは、丸山満彦です。
国家安全保障局 (National Security Agency) が、ゼロトラストの成熟度の高めるための情報シートを公表しています。7つのピラーのうちデータ・ピラーに注目したものになっています。
ちなみに7つのピラー
- USER
- DEVICE
- APPLICATION & WORKLOAD
- DATA
- NETWORK & ENVIRONMENT
- AUTOMATION & ORCHESTRATION
- VISIBILITY & ANALYTICS
ゼロトラストを進めている組織においては、参考になることも多いかもですね...
● National Security Agency
・2024.04.09 NSA Issues Guidance for Maturing Data Security
| NSA Issues Guidance for Maturing Data Security | NSA、データ・セキュリティの成熟に向けたガイダンスを発表 |
| FORT MEADE, Md. – The National Security Agency (NSA) is issuing guidance for maturing data security and protecting access to data at rest and in transit. | マサチューセッツ州フォートミード - 国家安全保障局(NSA)は、データ・セキュリティを成熟させ、静止時および転送中のデータへのアクセスを保護するためのガイダンスを発表した。 |
| The recommendations in the Cybersecurity Information Sheet (CSI), “Advancing Zero Trust Maturity Throughout the Data Pillar,” are intended to ensure only those with authorization can access data. The capabilities outlined in the CSI integrate into a comprehensive Zero Trust (ZT) Framework. | サイバーセキュリティ・インフォメーション・シート(CSI)「データ・ピラーを通じたゼロ・トラスト成熟度の促進」の勧告は、権限のある者だけがデータにアクセスできるようにすることを意図している。CSIに概説されている機能は、包括的なゼロ・トラスト(ZT)フレームワークに統合されている。 |
| “Malicious cyber actors continuously increase their ability to infiltrate networks and gain access to sensitive data,” said Dave Luber, NSA’s Director of Cybersecurity. “Assuming that breaches will occur, implementing the pillars of the Zero Trust Framework is how we combat that activity. Data pillar capabilities verify all access to data — one of the key foundational elements for building improved cybersecurity — thereby reducing the impact of breaches and enabling earlier detection of even advanced malicious cyber actor activities.” | 「悪意のあるサイバー・アクターは、ネットワークに侵入し、機密データにアクセスする能力を絶えず高めている。「侵害が起こることを前提に、ゼロ・トラスト・フレームワークの柱を実装することが、その活動に対抗する方法だ。 データの柱となる機能は、データへのすべてのアクセスを検証するもので、サイバーセキュリティを向上させるための重要な基礎要素のひとつである。 |
| Since releasing the "Embracing a Zero Trust Security Model" Cybersecurity Information Sheet in February 2021, NSA has continued to release updates and related products that provide guidance on how to adopt a ZT mindset to secure systems. The seven pillars of ZT architecture are as follows: user, device, network/environment, applications and workload, visibility and analytics, automation and orchestration, and data. | 2021年2月に "Embracing a Zero Trust Security Model" Cybersecurity Information Sheetをリリースして以来、NSAはシステムの安全性を確保するためにZTの考え方を採用する方法についてのガイダンスを提供するアップデートや関連製品のリリースを続けてきた。ZTアーキテクチャの7つの柱は、ユーザー、デバイス、ネットワーク/環境、アプリケーションとワークロード、可視化と分析、自動化とオーケストレーション、データである。 |
| This CSI recognizes the value of the data pillar and how its capabilities mitigate risk, including the use of encryption, tagging and labeling, data loss prevention strategies, and application of data rights management tools. | このCSIは、データの柱の価値と、暗号化、タグ付けとラベリング、データ損失防止戦略、データ権限管理ツールの適用など、その機能がどのようにリスクを軽減するかを認識している。 |
・2024.04.09 [PDF] Advancing Zero Trust Maturity Throughout the Data Pillar
7つのピラー...
| USER | ユーザー |
| Continually authenticate, assess, and monitor user activity patterns to govern users' access and privileges while protecting and securing all interactions. | ユーザーの行動パターンを継続的に認証、評価、監視し、ユーザーのアクセスと権限を管理すると同時に、すべてのやり取りを保護し、セキュアにする。 |
| DEVICE | デバイス |
| Understand the health and status of devices to inform risk decisions. Real time inspection, assessment and patching informs every access request. | デバイスの健全性とステータスを把握し、リスク判断に役立てる。リアルタイムの検査、評価、パッチ適用により、すべてのアクセス要求に情報を提供する。 |
| APPLICATION & WORKLOAD | アプリケーションとワークロード |
| Secure everything from applications to hypervisors, to include the protection of containers and virtual machines. | コンテナや仮想マシンの保護を含め、アプリケーションからハイパーバイザーまで、あらゆるものを保護する。 |
| DATA | データ |
| Data transparency and visibility is enabled and secured by enterprise infrastructure, applications, standards, robust end-to-end encryption, and data tagging. | データの透明性と可視性は、エンタープライズ・インフラ、アプリケーション、標準、堅牢なエンドツーエンドの暗号化、データのタグ付けによって実現され、保護される。 |
| NETWORK & ENVIRONMENT | ネットワークと環境 |
| Segment, isolate and control (physically and logically) the network envrionment with granular policy and access controls. | きめ細かなポリシーとアクセス制御により、ネットワーク環境をセグメント化、分離、制御(物理的および論理的に)する。 |
| AUTOMATION & ORCHESTRATION | 自動化とオーケストレーション |
| Automate security response based on defined processes and security policies enabled by Al, e.g., blocking actions or forcing remediation based on intelligent decisions. | Alが実現する定義されたプロセスとセキュリティポリシーに基づいて、セキュリティ対応を自動化する。 |
| VISIBILITY & ANALYTICS | 可視化と分析 |
| Analyze events, activities and behaviors to derive context and apply Al/ML to achieve a highly personalized model that improves detection and reaction time in making real-time access decisions. | イベント、アクティビティ、行動を分析してコンテキストを導き出し、Al/MLを適用して高度にパーソナライズされたモデルを実現する。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.03.08 米国 NSA ネットワークと環境のピラーでゼロトラストの成熟度を進める (2024.03.05)
Comments