米国連邦政府ゼロトラスト移行戦略を読み解く

セキュリティチームの ぐっちー です。2022年1月26日、米国のジョー・バイデン政権が、連邦政府機関向けの新たなサイバーセキュリティ戦略、通称「米国連邦政府ゼロトラスト移行戦略」を発表しました。[*1, 2]

ここでは、インシデントのリスク抑制を目的として、連邦政府機関が今後2年以内に実装すべき対策を示しています。このブログでは、具体的な対策事項に踏み込んで、ポイントをまとめてたいと思います。

全体サマリー

スケジュール

今回発表された「米国連邦政府ゼロトラスト移行戦略」を基に、米国連邦政府の各省庁で計画を立てて、ゼロトラストモデルのセキュリティ対策を実行することになりますが、スケジュール感は以下のように制定されています。

• 2022年1月26日：「米国連邦政府ゼロトラスト移行戦略」が発表された
• 2022年2月25日：ゼロトラスト推進責任者を各省庁で任命する
• 2022年3月27日：「米国連邦政府ゼロトラスト移行戦略」で特定された追加要件を組み込んでこれらの計画を策定・提出し、予算を確保する
• 2024年度末：計画に含めたセキュリティ要件を達成する（ただし、項目によって期日が異なるものもあります）

対策方針の全体像

この戦略における対策方針の構成は、サイバーセキュリティ・インフラセキュリティ庁（CISA）が発行する「ゼロトラスト成熟度モデル[*4]」の5つの柱を参照しながら構成されており、概要は以下の通りです。

ゼロトラの柱	「米国連邦政府ゼロトラスト戦略」における方針
アイデンティティ（ID）	連邦政府の職員は、エンタープライズレベルで管理されたアカウントを利用し、業務に必要なすべてのものにアクセスできるようにする。一方、巧妙なフィッシング攻撃からも確実に保護できるように、「高度なMFA」を利用できるようにする。
デバイス	連邦政府職員が業務に使用するデバイスは一貫して追跡・ 監視し、内部リソースへのアクセスを許可する際には、それらのデバイスの状態を考慮する。
ネットワーク	庁内のシステムは相互に分離し、その間や内部を流れるすべてのDNSリクエストとHTTPトラフィックを暗号化する。
アプリケーションとワークロード	日常的にアプリケーションに厳格なセキュリティ試験を実施するとともに、デプロイメントを自動化し、パッチやソフトウェアのバージョン管理を効率化する。
データセキュリティ	データの分類を利用した保護を行い、機密データへのアクセスを監視し、機密情報への不正アクセスを自動的に検出・ブロックする。

次の章では、各「ゼロトラストの柱」の中で具体的に実施すべき対策について、解説します。

対策方針の詳細

アイデンティティ（ID）

統合ID基盤（IdP）を構築せよ

ID（及びアクセス制御）はこの戦略において、最も重要と位置づけられています。よく聞く話かもしれませんが、まずは統合ID管理基盤を導入し、利用するアプリケーション（クラウドサービス）のアクセスを統合ID管理基盤で統制するよう指示しています。

当社では、統合ID基盤（IdP）の構築について、「ゼロトラストを社内インフラに実装する手順（49分ごろ）[*5]」や「ID統制とIdPの選び方[*6]」といったコンテンツを出していますので、是非ご活用ください。

多要素認証（MFA）をすればいい訳ではない

多要素認証（MFA）は、パスワードの不正入手やブルートフォース攻撃からシステムを保護することができます。しかし、SMSおよび音声通話ベースの多要素認証（MFA）では、巧妙なフィッシング攻撃からは保護できず、米国連邦政府も2017年以来、利用を推奨していません。[*7]

そこで、ゼロトラスト戦略ではSMSおよび音声通話ベースの多要素認証（MFA）のサポートを中止し、連邦政府のPIV(Personal Identity Verification)[*8]やFIDO2 [*9]のものなどを使用を徹底することを方針として定めました。他の項目は達成期限が「2年以内」の項目が多いですが、この項目は「1年以内」となっており、非常に重要度・緊急度の高い項目とされています。

定期的なパスワード変更はやめろ

この戦略では定期的なパスワード変更を要求するパスワードポリシーをすべてのシステムから削除することを要求しています。一昔前はパスワード定期変更は有効なセキュリティ対策とされていましたが、却って簡単なパスワードを設定してしまう懸念から、直近だとNISTの文章でも利用が推奨されていません。[*10]

他の項目は達成期限が「2年以内」の項目が多いですが、この項目は「1年以内」となっており、非常に重要度・緊急度の高い項目とされています。

ロールベースに加えて属性ベースのアクセスコントロールをせよ

「ゼロトラスト・ネットワーク」のコンセプトではアクセス要求はすべて適切か評価されるべきであり、さらにセッションを継続的に評価することが必要だと提唱されています。そこで過度のリスクが確認された場合、再認証を要求したり、ユーザが要求した行為が適切であると確認されるまでアクセスを制限することなどが必要となります。

その観点で、現在の米国の連邦政府各省庁の現状を見ると、あらかじめ定義された静的なロール（IT管理者・人事など）に依存するロールベースアクセスコントロール（RBAC）[*11]を実施している省庁が多いとされています。そして、あらかじめ定められた静的な観点でしか認証できていない以上、「ゼロトラスト・ネットワーク」のコンセプトに基づくと不十分と指摘しています。

そこで、現在の方式に加えて属性ベースのアクセスコントロール（ABAC）[*12]を追加することで、動的な検証に近づけていくように指示しています。実装方法の一例としてユーザが使用しているデバイスの状態を確認する手法が紹介されており、具体的な確認項目としては登録されているデバイスか、最新のパッチが当たっているかなどを検証するなどが考えられます。そして、もし基準に達しない状態でのアクセス要求の場合は、例えロールでは認可されていてもアクセスを止めたりする必要があります。

デバイス

CISAのCDMプログラムに参加し信頼性の高い資産目録を自動作成せよ

CDMプログラム[*13]のCDMとは「継続的な診断および軽減（Continuous Diagnostics and Mitigation)」のことで、平たく言うとネットワーク スキャンなどを通じて、ネットワーク上の管理されていない資産（デバイス等）を発見し、保護する取り組みのことです。米国ではCISAがCDMプログラムを提供しており、これに参加することで、信頼性の高い資産目録を作成するように指示されています。

我々はCISAのCDMプログラムに参加できないので、この項目は全部真似するのは難しいと思いますが、「ネットワークスキャンなどで利用して自動的に資産発見する」というエッセンスを取り入れることはできると思うので紹介させていただきました。CISAのサイトには「スキャンをしたら想定の2倍の資産を発見したこともある」という記載もあり、守るべき資産がそもそも把握できていない組織も多いと思います。また、発見したデバイスは手作業で管理することは困難だと思うので、MDMのようなツールに登録し、ポリシーやパッチを適用するなどして、一括管理することをおすすめします。

EDRを展開し、脅威ハンティングせよ

以前、私が書いたブログでは、日本の政府統一基準でもEDRの利用を推奨されており、さらにその運用は「ログ分析等を行う SOC（Security Operation Center）業務を委託できるサービスの利用なども検討するとよい。」とされていることを紹介しました。[*14]

一方、「米国連邦政府ゼロトラスト移行戦略」ではEDRはCISAが定める要件をクリアしたものを必須で導入することを指示しており、日本の政府統一基準と比べてやや厳しめの内容となっています。さらに各省庁は、EDRツールから報告された情報をCISAに提供し、CISAが中心となって政府全体で脅威ハンティング[*15]を実施することも織り込まれております。

ネットワーク

DNSリクエストとHTTP通信を暗号化せよ

HTTPの暗号化はよく聞く話ですが、それに加えて「米国連邦政府ゼロトラスト移行戦略」ではDNSリクエストも暗号化することを求めています。Windows 11 などでは、「DNS over HTTPS」というプロトコルをサポートしています[*16]が、それらを駆使して全てのDNSリクエストを暗号化することを目指します。

また、今日ではHTTPSはかなり普及していますが、一方で省庁の内部トラフィックでHTTPの通信がよく利用されていることが「米国連邦政府ゼロトラスト移行戦略」では指摘されています。そこで境界内を無条件に信用しないゼロトラストを実践するにあたり、米国連邦政府は内部トラフィックも須らく暗号化することが必要であると主張しています。

マイクロセグメンテーションせよ

ゼロトラストの文脈では必ずと言っていいほど出てくる「マイクロセグメンテーション」は、この戦略でももれなく含まれています。アプローチとしては、環境をどのように分離するかを表したゼロトラストアーキテクチャのロードマップを作成することを求めており、さらにそのロードマップの中ではクラウドベースのインフラを活用していくことが示唆されています。

全てのメールを暗号化することを”目指せ”

HTTPやDNSとは異なり、外部との電子メールにおいては電子メールが転送中に確実に暗号化されることを保証することは難しいとされています。しかし、電子メールは依然として日常業務における重要なコミュニケーション手段あるため、確実に暗号化することができるソリューションが生まれることが望まれており、「米国連邦政府ゼロトラスト移行戦略」でも全て暗号化していくことを目指す方針が定められています。

そのための方法について具体的には決まっていませんが、CISAを中心に今後議論がなされる予定です。日本とアメリカは同盟国であり、当然メールのやり取りもしていると思うので、今後の動向には目が離せません。

アプリケーションとワークロード

デプロイを自動化し、パッチやソフトウェアのバージョン管理を効率化せよ

コードやインフラは、手動による変更が技術的に制限される方法で、クラウド環境にデプロイされるべきとしています。そのために、継続的インテグレーション/継続的デプロイメント(CI/CD)やInfrastructure as Code(IaC)などの最新のソフトウェア開発手法を活用しながら、デプロイ作業を自動化・効率化し、構成/変更管理などを簡潔にすることが望ましいとされています。

また、本記事は情シスを対象読者としている関係で省略していますが、「アプリケーション・ワークロード」の章ではアプリ開発部門が実行すべきセキュリティ施策なども紹介されています。

データセキュリティ

機密情報を分類して分類に基づいたセキュリティ初期対応を自動化せよ

機密性の高い情報を分類し、それらの文章の共有を自動的に監視し、制限することを求めています。例えば、分類を元にラベル付された機密情報が、コラボレーションツールや電子メールで不適切に共有されていないかを検出・ブロックするDLP[*17]の実装などが考えらえます。

さらに膨大なセキュリティイベントに対応するのは人の目だけでは困難であることから、ここではSOAR[*18]などを利用して、初期対応を自動化することも求めています。

終わりに

「ゼロトラスト・ネットワーク」は新しいコンセプトではありませんが、そもそも概念が曖昧な中で、何をしたらいいのかわからないという方も多いと思います。そんな方には、「米国連邦政府ゼロトラスト移行戦略」を参考にしていただけたらと思います。尚、日本政府のゼロトラストの動向については、別ブログ「「政府機関統一基準群（令和３年度版）」をゼロトラストから見てみる」でも紹介していますので、そちらもご覧いただけると嬉しいです。

また、「米国連邦政府ゼロトラスト移行戦略」では「まず最初に米国政府ゼロトラスト戦略に示された対策の実行計画と予算を提出すること」とありますが、そんな計画策定をサポートするサービスを当社では提供しておりますので、ご興味があったらご相談の日程お申し込みフォーム、又はお問合せフォームからご連絡ください。

参考資料・注釈 等

1. Office of Management and Budget Releases Federal Strategy to Move the U.S. Government Towards a Zero Trust Architecture | The White House https://www.whitehouse.gov/omb/briefing-room/2022/01/26/office-of-management-and-budget-releases-federal-strategy-to-move-the-u-s-government-towards-a-zero-trust-architecture/
2. M-22-09 Federal Zero Trust Strategy | The White House https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf
3. 2021年IPA10大脅威とゼロトラスト | ロードバランスすだちくん https://blog.animereview.jp/2021ipa-zero-trust/
4. ZERO TRUST MATURITY MODEL | CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY https://www.cisa.gov/publication/zero-trust-maturity-model
5. ゼロトラストを社内インフラに実装する手順 – YouTube https://www.youtube.com/watch?v=ssuOmanpYDo
6. ID統制とIdPの選び方 シングルサインオン（SSO） | 株式会社クラウドネイティブ https://cloudnative.co.jp/product/IdP
7. NIST Special Publication 800-63Bにおいても、SMSおよび音声通話ベースのMFAはフィッシング攻撃にあう危険性があると主張されており、米国政府は、2017年以来SMSおよび音声通話ベースのMFAを推奨していません。 https://openid-foundation-japan.github.io/800-63-3-final/sp800-63b.ja.html
8. 「PIV(Personal Identity Verification) 」とは、NIST FIPS 201-2で詳述されているセキュリティ規格であり、スマートカードで多要素認証（MFA）を実施することができます。 https://www.nist.gov/topics/identity-access-management/personal-identity-verification-piv
9. 「FIDO2」とはFIDOが推し進める認証技術の1つで、専用のソフトウェアやハードウェアを利用せずに、指紋認証や顔認証、虹彩認証といった「パスワードを使わない認証情報」をオンライン上でやり取りできるというものです。 https://fidoalliance.org/fido2/
10. NIST Special Publication 800-63Bにおいても、パスワードは定期的に変更するよう要求すべきではないと主張されています。 https://openid-foundation-japan.github.io/800-63-3-final/sp800-63b.ja.html
11. ロール ベース アクセス制御（Role Based Access Control＝RBAC）は、ユーザの役割（ロール）に基づいてアクセス制御を行う手法です。 https://csrc.nist.gov/Projects/Role-Based-Access-Control
12. 属性ベースのアクセス制御（Attribute Based Access Control＝ABAC）とは、ロールではなく属性（特性）を評価してアクセスを決定する手法です。https://www.nist.gov/publications/guide-attribute-based-access-control-abac-definition-and-considerations-1
13. 「CDMプログラム」とはインフラ、システム、エンドポイント端末からリアルタイムでデータを収集し、ネットワーク上に何があるのか、これらのネットワーク上でのトランザクションはどのように行われているのか、データはどのように保護されているのかを把握するためのプログラムです。サイバーセキュリティ・インフラセキュリティ庁（CISA）が提供しています。https://www.cisa.gov/cdm
14. 「政府機関統一基準群（令和３年度版）」をゼロトラストから見てみる | クラウドネイティブBlog https://blog.cloudnative.co.jp/8217/
15. 「脅威ハンティング」とは、ネットワーク内で検出されずに潜んでいるサイバー脅威をプロアクティブに検索する行為のことを指します。 https://www.crowdstrike.com/cybersecurity-101/threat-hunting/
16. Windows Insiders gain new DNS over HTTPS controls | Microsoft Tech Community Network Blog https://techcommunity.microsoft.com/t5/networking-blog/windows-insiders-gain-new-dns-over-https-controls/ba-p/2494644
17. DLP（Data Loss Prevention）は情報漏えいを防ぐことを目的とするセキュリティツール群の総称（カテゴリ）です。特定の文字列やラベル等の切り口でデータを監視して情報漏えいを防ぎます。 https://www.nist.gov/publications/data-loss-prevention
18. SOAR(Security Orchestration, Automation, and Response)はセキュリティ運用を機械が自動的に行うソリューションです。機械学習によるログの相関分析を行い、その結果を元にアラートを上げたり、インシデントに応じて自動でセキュリティ製品をコントロールする機能など様々な機能があります。注：もちろん、製品によってできること、できないことがありますので、詳しくは気になった製品をお調べください。