サイバー犯罪の隆盛にそなえる米国
5月12日、ジョー・バイデン大統領は「Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの向上)」に関する大統領令に署名した(政府が同日に公表したファクトシート)。
これは、サイバー攻撃やセキュリティ上の脅威に対処するために、政府や公的機関、民間企業のネットワークを保護し、政府と企業の間の情報共有などを改善する施策。官民合同の「サイバーセキュリティ安全検証委員会(Cybersecurity Safety Review Board)」も設置される。
政府機関のシステム、およびシステムを提供するベンダーに対しては、オンプレミス(サーバーやソフトウェアなどの情報システムを、自社で保有し運用するシステムの利用形態)から、できるだけクラウドに移行を推奨することも含まれている。
また、政府と契約する情報通信サービス企業に対しては、政府機関に情報を共有するだけでなく、深刻なサイバー攻撃の場合は情報を開示するように義務付けられている。政府機関に提供されるソフトウェアに関しても、事業者が遵守するガイドラインを策定するとしている。
ここ数年、米国では大規模なサイバー犯罪が多発している。5月には米国の石油パイプライン管理会社であるコロニアル・パイプライン社がランサムウェアの攻撃を受けた。支払った身代金はおよそ400万ドルと、その被害規模の大きさから、日本でも報道を目にした人はいるだろう。
また、この大統領令の起草が始まったとされる2020年には、IT管理ソフトなどで高いシェアをほこるSolarWindsのソフトウェアの脆弱性を突き、米国の官公庁や民間企業が被害に遭った例もある。これらのサイバー犯罪に対して、米国も国を挙げて対策を講じているわけだ。米国の大統領が、サイバーセキュリティを強化する大統領令に署名した意義はそこにある。
国際的な規模のサイバー犯罪も増えている今、米国の現状は、決して対岸の火事ではない。公的機関、民間企業に限らず、在宅でオンラインが増えている今となっては、それらを狙ったサイバー犯罪の被害も増大している。
十分なセキュリティ対策を取らずに、オンラインでの行動が増える、オンライン状態になるデバイスが増えるということは、マルウェア攻撃、個人情報の盗難、ランサムウェアなどのセキュリティリスクにさらす可能性が高まることは理解しておきたい。
また、クラウドへの移行が進んでいるということは、クラウドサービスのユーザー認証をしっかり求められることにもなる。ログインの際に、パスワードだけでなく電話番号(SMS)などによる認証も必要になる「2段階認証」(ログイン認証)などの必要性は増してくるだろう。
最新のセキュリティ事情を知ることは、流行のサイバー犯罪への対策を理解し、これからの脅威にそなえることでもある。今回は、McAfee Blogから「米国のサイバーセキュリティ - 国家の安全を強化する大統領令」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
米国のサイバーセキュリティ-
国家の安全を強化する大統領令:McAfee Blog
5月12日、米国の大統領は「Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの向上)」に関する大統領令(EO)に署名しました。すべての大統領令と同様に、大統領令は遵守するべき期限を設けており、行政府機関に対して、定めた目的を達成するための具体的な計画を提示することを求めています。
大統領府はサイバー脅威情報を重要視しており、政府機関がサイバー脅威やインシデントへの対応についてより良い判断を下すのに役立つと考えていることは、EOからも明らかです。同時に、 ゼロトラストによるリソースアクセスをどのように連邦政府機関が管理するか、ハイブリッドサービスアーキテクチャをどのように包括的に定義し保護するかということに焦点を当てています。これは、政府機関がミッションクリティカルなアプリケーションやサービスを、より一層今まで以上にクラウドに移行していくうえで、非常に重要な側面です。
すでに何年も前から国のサイバーセキュリティのアプローチの近代化と、インテリジェンスの連携とインシデント対応機能の構築は取り組んでいたはずなので、今回の大統領令による行動喚起は後手にまわっているといえます。各省庁が敵にどのように標的にされているかを可視化し、より深く理解するため、各省庁が境界の認識を改め、クラウドサービスと物理的なデータセンターサービスの間のサイロを取り壊していくことが必要です。
政府上層部は、新しいEOの要件を実施するにあたり、対応能力と戦略的イニシアティブの現状認識を見直していることだろうと思います。現状と要件に大きな差があると確認された場合は、 エンドポイント検出・応答 (EDR) やゼロトラストなどの新しいフレームワークや定義された能力に合わせてアプローチを再考するため、計画を更新する必要があります。
目的のアウトラインを示すことは重要な課題ですが、同時に、各省庁がコンプライアンスの決定にたどり着くまでの過程において、十分に注意を払う必要があると考えます。この大統領令のゴールは、すでに複雑なセキュリティをさらに複雑にすることではなく、むしろ、可能な限り簡素化して自動化することです。早期に適切なアプローチが決定されない場合、コンプライアンスの追求のため、より複雑化するばかりで、当初望んでいた結果を得られないというリスクがあります。
表面的には、EOで示された応用脅威インテリジェンス、EDR、ゼロトラスト、データ保護、クラウドサービスの導入などの改善点は、個別に対応できるようにも見えます。実際には、総合的に正しい判断をする必要があります。各組織や企業を率いる責任者たちは、ソリューションやアーキテクチャの検討段階において、いくつかの重要な課題に直面します。
1.どのようにして脅威インテリジェンスから特定のコンテキストを導き、プロアクティブかつ予測的に対応するか
2.一度危険だと判断して隔離した資産を自動的に保護し、予防措置のため、ローカルに生成された脅威インテリジェンスを配布するにはどうすればよいのか
3.EDRを通じて、脅威インテリジェンスはインシデントにどのように対応・調整するか
4.どのようにすれば脅威インテリジェンスとEDRは、ゼロトラスト・アーキテクチャの情報に基づき信頼に足る機能を果たせるのか
5.エンドポイントを超えて検出・応答プラットフォームを拡張するため、どのように既存のログ収集機能とSIEM機能を基に構築するか
6.企業のセキュリティ計画を過度に複雑化させることなく、柔軟なマルチレイヤーのゼロトラスト・アーキテクチャを構築するにはどのようにするべきか
この大統領令によって、政府がサイバーセキュリティのアプローチを進化させ、最新の脅威から防御し、より積極的にクラウド化への移行を果たす絶好の機会を得ました。一方、大統領令で表明された緊急度の高さ故に、十分に検討の時間を取らずに決定すれば、解決ではなくかえって多くの課題を生み出すという重大なリスクをはらんでいます。この大統領令によって得た機会を効果的に活用するには、連邦政府の上層部は、強固な脅威インテリジェンスを含むプラットフォームアプローチにすべてのソリューションを統合するサイバーセキュリティに対する包括的アプローチを採用する必要があります。スタンドアロンのゼロトラストやEDR製品では、サイバーセキュリティのアプローチの改善や近代化にはつながらず、さらに複雑さを増すことになりかねません。個々の製品ではなく、入念に練られた共通のプラットフォームが、公共部門の組織に最も適しています。
※本ページの内容は2021年6月11日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:The Executive Order - Improving the Nation’s Cyber Security
著者:Jason White
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト