サイバー脅威がますます高度になるにつれて、堅牢なサイバーセキュリティ対策の必要性がかつてないほど重要になっています。 米国サイバーセキュリティ & インフラセキュリティ機関(CISA)は、サイバースペースを守り、重要な機能の回復力を高めるための国家努力を先導し、強力な技術エコシステムを促進する上で中心的な役割を果たします。 CISAミッションは、連邦民間執行部(FCEB)機関間のサイバー状況認識を維持し、.gov ドメインをセキュリティで保護することを含みます。 CISA は、重要なサイバー インシデントを効果的に管理する連邦政府機関や業界パートナーを支援します。 2023 年 4 月、CISA は ゼロ トラスト成熟度モデル バージョン 2.0 (ZTMM) をリリースしました。
手記
このガイダンスでは、組織 という用語は、FCEB の機関と業界パートナーを指します。
新しいテクノロジの急速な導入と進化する脅威の状況は、サイバーセキュリティに継続的な課題を抱えています。 行政命令14028:国家サイバーセキュリティ の改善は、連邦サイバーセキュリティの最新化に新たな焦点を当てることを強調し、政府エンティティにとって推奨されるセキュリティモデルとしてゼロトラストアーキテクチャ(ZTA)を支持する。 この命令により、組織は ZTA 実装のための包括的な計画を策定する必要があります。 この順序では、現在のサイバーセキュリティ体制を評価し、完全な展開に備える必要があります。
CISA ZTMM は、組織がセキュリティ体制を厳密に評価し、ZTA への移行に必要な変更を実装するための重要なロードマップとして機能します。 このモデルを採用することで、組織はサイバー脅威に対する回復性を大幅に強化し、重要な情報資産をより強力に保護し、全体的なセキュリティ フレームワークを強化することができます。
この移行をサポートするために、管理予算局 (OMB) 覚書 M-22-09 は、ZTMM の柱に合わせて採用するアクションの概要を示します。 連邦 ZTA 戦略では、組織が主要なサイバーセキュリティ目標を達成し、ゼロ トラスト戦略を開発して実施する際に、エグゼクティブ オーダー (EO) 14028 と M-22-09 を考慮する必要があります。
Microsoft は、統合されたセキュリティ ツールの統合プラットフォームを利用して、幅広いゼロ トラスト機能を提供しています。 このプラットフォームは、次のセクションで説明する CISA ZTMM の柱および横断的な機能全体にわたって包括的なカバレッジを提供します。 これらのソリューションは、効果的なゼロ トラストの実装に向けた組織の取り組みをサポートし、セキュリティで保護された回復力のある連邦サイバーセキュリティ フレームワークの確保に役立ちます。
柱、関数、機能、および ZTMM ジャーニー ステージ
CISA ZTMMは、5本の柱 に基づいて、ゼロトラスト保護領域を強化するための 機能 を含むように構築されています。 ガイドのセクションに移動するには、次のリンクを使用します。
各柱には、の 3 つの
可視性と分析: 可視性とは、企業全体の環境の特性とイベントからの観測可能な成果物を指します。 サイバー関連のデータ分析に焦点を当てることは、ポリシーの決定を通知し、対応アクティビティを容易にし、リスク プロファイルを構築して予防的なセキュリティ対策を開発するのに役立ちます。
自動化とオーケストレーションの: ゼロ トラストでは、製品やサービス全体のセキュリティ対応機能に自動化されたツールとワークフローが使用されます。 企業がこのような機能、製品、サービスの監視、セキュリティ、開発プロセスの相互作用を維持するのに役立ちます。
ガバナンス: このドキュメントでは、ガバナンスは、企業のサイバーセキュリティ ポリシー、手順、プロセスを柱にして適用することです。 ガバナンスは、ゼロ トラスト原則をサポートし、連邦政府の要件を満たすためのセキュリティ リスクを軽減します。
手記
可視性と分析、自動化とオーケストレーション、ガバナンスの機能により、組織は柱を越えて進歩を統合できます。 次の図は、柱と横断的な機能を示しています。
ZTMM 体験ステージ
柱はZTMMの旅の4つの段階にまたがる。
- 従来の: 確立から使用停止までのライフサイクルや、セキュリティやログ記録などの属性の割り当てなど、手動で構成されたライフサイクル。 静的セキュリティ ポリシーとソリューションは、外部システムへの依存関係を持つ重要な要素に対処します。 プロビジョニング時に最小特権が確立されます。 ポリシー施行における孤立化した柱、手動での対応と緩和策の展開、そして依存関係、ログ、テレメトリの関連付けが限定的な状況。
- 初期: 属性の割り当て、ライフサイクルの構成、ポリシーの決定、および適用の自動化を開始します。 初期のクロス柱ソリューションと外部システム統合。 プロビジョニング後に最小特権に対して柔軟な変更が行われます。 内部システムの集約された可視性。
- 高度な: 必要に応じて、部門横断的な調整により、ライフサイクルの管理、構成、ポリシーの割り当てを自動化します。 可視性と ID 制御を一元化し、柱をまたいで統合されたポリシーの適用。 定義済みの軽減策、リスクと体制の評価に対する最小限の特権への変更に対する基本応答。 外部でホストされているリソースを含む、企業全体の認識を作成します。
- 最適: 自動化された Just-In-Time (JIT) ライフサイクルと、自動化されたトリガーと観察されたトリガーに基づいて動的ポリシーを使用して自己報告できるアセットとリソースへの属性の割り当て。 資産とその依存関係のしきい値内で、最小限の動的な特権アクセス、十分なアクセス (JEA) を使用します。継続的な監視によるクロス柱相互運用性を実現し、包括的な状況認識を使用して一元化された可視性を実現します。
成熟度モデルの条件
ゼロ トラスト テクノロジの柱の成熟度ステージを特定し、モデル全体で一貫性を提供するには、次の条件を使用します。
ガイダンスの範囲
このガイダンスは、ZTMM 関数の目標を達成し、成熟度ステージを進めるのに役立ちます。 少なくとも、組織は従来の ステージにあると想定しています。
以降のセクションでは、ZTMM 体験ステージの説明と Microsoft のガイダンスと推奨事項を含むテーブルを持つ関数領域に柱を分けます。 表を使用して、Microsoft クラウド サービスが ZTMM にどのように対応しているかを確認します。 各関数には、成熟度ステージのガイダンスがあります。 たとえば、最適 ステージでガイダンスを実装する組織が、高度 ステージのガイダンスを実装しました。
手記
ガイダンスの対象は、Microsoft 商用クラウドの一般提供 (GA) またはパブリック プレビューの機能です。
実装アプローチ
ほとんどの場合、複数のチームが共同作業を行って、ライフサイクル ステージを通じて組織をガイドします。 Microsoft では、次の原則を含むアプローチをお勧めします。
- チームに柱と横断的な能力の明確な責任を割り当てて編成する
- 定義された通信行と定期的に更新された状態があることを確認する
- クロスカット機能を含むZTMMの柱全体に製品を統合する
組織は、ZTMM のクロスカット機能を満たす統合ソリューションを使用することで、複雑さ、コスト、リスクを軽減できます。
次の手順
CISA ゼロ トラスト成熟度モデル用に Microsoft Cloud Services を構成します。