なぜMicrosoftは、ペンタゴンのゼロトラスト移行を「ほめた」のか?
米国防総省は従来の境界防御型のセキュリティモデルを転換し、2027年までにゼロトラストのロードマップを完全に実施すると発表した。
米国防総省は2022年11月22日(現地時間)、犯罪組織やならず者国家などへの対策を抜本的に見直すため、ゼロトラスト戦略の開始を発表した。
2027年までにゼロトラストへの完全移行を宣言
ゼロトラスト戦略とは、ネットワークが既に侵害されていることを想定したセキュリティ戦略だ。
従来はネットワークを安全な「内側」と危険な「外側」に区別し、その境界線に何らかのセキュリティ対策を講じるのが一般的だった。しかし、ゼロトラスト戦略においては全てのやりとりの中に侵害のリスクが存在することを想定し行動する。米国防総省は2027年までにゼロトラスト戦略に完全に移行することを宣言している。
同省のゼロトラストポートフォリオ管理オフィスのディレクター、ランディ・レズニック氏は「ゼロトラストでは、ネットワークが既に侵害されていることを想定している。そして、認証の繰り返しによって敵対者がネットワークを通過するのを阻止するとともに、敵対者を迅速に特定して、彼らが悪用した可能性のある脆弱(ぜいじゃく)性と被害を軽減する」と述べた。
同氏はこの状況をホームセキュリティに例えた。家ではその所有者が全てのドアと窓に鍵を掛け、鍵を持っている人だけが家に入れる。。ゼロトラスト環境では、家の中の価値のあるアイテムが全て特定され、警備と鍵で個々のアイテムがさらに保護される。
同省はこの戦略の下で、脅威がシステム内部にアクセスし、検知を回避しながらシステム内を横方向に移動するのを遮断することに重点を置いている。また、個人情報盗難の防止にも重点を置き、多要素認証を実施する予定だ。
Microsoftがペンタゴンのゼロトラスト戦略をほめたワケ
Microsoftは2022年11月22日(現地時間)、同発表を称賛するブログ記事を公開した(注1)。同社の連邦政府セキュリティ担当CTOであるスティーブ・フェール氏は、さまざまな組織や技術スタック間でゼロトラストの実装を比較することが困難である点を指摘する。「しかし、米国防総省のゼロトラスト戦略は今後、サイバーセキュリティに関する同省独自の洞察から得られた、さまざまなセキュリティ対策の成熟度を評価するための共通の指標になる」と述べた。
Microsoftは米国防総省の技術スタックに既得権益を有している。同省の広報担当者によれば、同省は90億ドルのクラウド契約「Joint Warfighting Cloud Capability(JWCC)」を2022年12月に発注する予定だという。JWCCはもともとMicrosoftが100億ドルで受注して頓挫した「Joint Enterprise Defense Infrastructure」契約の後継となる(注2)。
さらに、Microsoftは米海軍と協力して、数十万人のスタッフが単一の「Microsoft 365」環境に移行する「Flank Speed」と呼ばれる移行プログラムに取り組んできた(注3)。
RSA Federalのプレジデント、ケビン・オア氏によれば、ゼロトラストの展開によって、米国防総省の環境内の脅威だけでなく、サードパーティーサプライヤーが持ち込む可能性のある脅威にも対抗できるようになるという。同氏は「この戦略は新しいシステムやレガシーシステムへの対応、組織プロセス、先進技術の導入を考慮しており、包括的なサイバーセキュリティエコシステムの構築を目指している。この戦略は米国防総省と協力してサイバーセキュリティの防御を強化するあらゆる組織のハードルを上げるものだ」と期待をあらわにした。
出典:Defense Department launches zero trust, phasing out perimeter defense strategy(Cybersecurity Dive)
注1:Microsoft supports the DoD’s Zero Trust strategy
注2:Pentagon chooses multicloud, cancels embattled $10B JEDI contract
注3:Flank Speed - Navy’s Transition to Improved Microsoft365 Cloud Collaboration
© Industry Dive. All rights reserved.
関連記事
- 「あなたの会社のセキュリティ対策は時代遅れ」Microsoftのクラウド担当が語る
Microsoftのクラウドセキュリティ担当バイスプレジデントは、セキュリティを高める手法を間違えている企業が少なくないと語る。現在のITシステム構成や攻撃内容から考えると、ダイナミックで現実的な手法が必要なのだという。どのような手法だろうか。 - クラウドに置いたデータの処理に不安あり、暗号化は役立つのか
他のユーザーはもちろん、クラウドサービスプロバイダーに対しても機密を守りたいデータが企業にはある。このようなデータをクラウドで処理したい場合、何ができるだろうか。