米国連邦政府、サイバーセキュリティに権限行使。世界中に広がる影響

2023/3/7 - 読み終える時間: 2 分

US Federal Government Exerts Authority in Cybersecurity: Impacts Felt Around the World の翻訳版です。

米国連邦政府、サイバーセキュリティに権限行使。世界中に広がる影響

2023年2月28日

著者: Cyril Englert / HCL Software Solution Architect

米国連邦政府は、サイバーセキュリティの強化の重要性を認識し、国家安全保障を守るために重要な行動を起こしています。ここでは、これらの行動の一つひとつを取り上げ、HCL BigFixがどのように政府（およびあらゆる組織）のサイバー攻撃防止能力強化のための取り組みをサポートしているかを説明します。

米国は、世界のサイバー攻撃の46%が米国人に向けられたものであり、最も標的にされやすい国であることに変わりはありません。

~ Top Cybersecurity Statistics、2023年1月、CompTIA

2021年5月12日、大統領令（EO）14028 - "Improving the Nation's Cybersecurity" (Executive Order (EO) 14028 – “Improving the Nation’s Cybersecurity”) が発令され、各省庁にサイバーセキュリティの強化を求め、サイバーインシデントの予防、検出、評価、是正を最優先事項としています。このEOから60日以内に、各機関のトップはゼロ・トラスト・アーキテクチャーを導入する計画を策定することが義務づけられた。ゼロトラスト（ZT）とは、防御を静的なネットワークベースの境界線から、ユーザー、資産、リソースに焦点を当てるように進化した一連のサイバーセキュリティパラダイムを指す言葉である。

同年末、サイバーセキュリティおよびインフラセキュリティ庁（CISA）は、敵対者によって積極的に悪用されている脆弱性の緊急かつ優先的な是正を推進するため、拘束的運用指令（BOD）22-01「既知の悪用される脆弱性の重大なリスクの軽減 (Reducing the Significant Risk of Known Exploited Vulnerabilities)」を発行しました。この指令は、CISAが管理する既知の脆弱性（KEV）のカタログを確立し、一般的な脆弱性と暴露（CVE）の是正を2週間以内に行うことを要求します。

BOD 22-01を推進するため、行政管理予算局のシャランダ・ヤング局長代理は2022年1月、連邦ゼロトラストアーキテクチャ（ZTA: Federal Zero Trust Architecture）戦略を定めた覚書を各省庁の長に発表した。この覚書は、各省庁に対して、"巧妙化・持続化する脅威キャンペーンに対する政府の防御を強化するため、2024会計年度末までに特定のサイバーセキュリティ基準および目標を達成すること "を要求しています。この覚書は、識別、デバイス、ネットワーク、アプリケーション/ワークロード、データにわたってゼロトラストを実施することを各機関に義務付けています。

連邦政府機関には、サイバーセキュリティ対策の基礎となる信頼性の高い資産目録を作成するよう指示されています。CISA の CDM（Continuous Diagnostics and Mitigation）プログラムは、情報セキュリティ継続的監視（NIST 800-137）の体系的な実装を提供します。MITRE の CDM に関するプレゼンテーションでは、BigFixはCDMプログラムに不可欠なソリューションとして、次のように説明されています。

• 企業全体にわたる基礎的な資産目録を提供する
• BigFix DISA STIGチェックリストを使用したFISMAコントロールの継続的なコンプライアンス実施
• 脆弱性を修正するためのパッチの導入

ゼロトラストアーキテクチャへの移行は、どの組織や企業にとっても、特に連邦政府のように複雑で技術的に多様な組織にとっては、迅速かつ容易な作業ではありません。そのため、BigFixは、組織が以下のことを可能にするコア機能を提供することで、連邦政府のサイバーセキュリティの取り組みとポリシーをサポートするために積極的に取り組んでいます。

• BOD 22-01に準拠する。BigFix CyberFOCUS Analyticsで提供されるCISA KEV Analyzerは、エンドポイント環境に存在するすべての既知の脅威を可視化し、暴露の大きさとCISAで義務付けられている修復日に基づいて修復作業の優先順位を決定できるようにするためのものです。
• 企業全体のハードウェアおよびソフトウェア資産の基礎となるインベントリを作成する。BigFix Inventoryは、組織が所有しているもの、インストールされているが所有していないもの、そしてそのソフトウェアの使用頻度に関する貴重な洞察を提供します。
• CIS、PCI、DISA STIGに基づくカスタマイズ可能なチェックリストを使用して、すべてのエンドポイントに対してコンプライアンスを実施します。BigFix Complianceは、業界標準のセキュリティベンチマークに沿った何千ものすぐに使えるセキュリティチェックにより、設定のコンプライアンスを継続的に強化します。また、改善の優先順位付けのための高度な脆弱性ポスチャーレポートを提供します。
• 脆弱性を修正するためのパッチの導入。BigFixは、単一のコンソールから管理できる自動化され簡素化されたパッチ適用プロセスを提供し、約100種類のオペレーションシステムのバージョンと亜種に対応したコンテンツを提供します。

最近、当社はゼロ・トラストに関するホワイトペーパーとウェビナーを発表しました。詳細については、https://www.hcltechsw.com/bigfix/zero-trust をご覧いただくか、HCLSoftwareまでお問い合わせください。