　米国連邦政府全体のレベルでは、2021年9月7日、米合衆国行政管理予算局（OMB）が、「米国連邦政府のゼロトラスト原則への移行」草案を公表し、2021年6月に「ゼロトラスト成熟度モデル」草案（関連情報、PDF）を公表していた国土安全保障省（DHS）傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と共同で、パブリックコメントの募集を開始した（関連情報）。

　その後OMBは、各界から寄せられたパブリックコメントを受けて、2022年1月26日、「M-22-09 米国連邦政府のゼロトラスト原則への移行」最終版（関連情報、PDF）を公表している。本文書は、ゼロトラストアプローチの概念や基本的な考え方について、「国防総省ゼロトラスト参照アーキテクチャ第1.0版」（2021年2月4日、関連情報、PDF）を参照した上で、以下のようなポイントを掲げている。

連邦政府機関のスタッフはエンタープライズ管理型のアカウントを有して、業務遂行に必要なもの全てにアクセスできるようにする一方、標的型や洗練されたフィッシング攻撃から確実に保護されるよう維持する
連邦政府機関のスタッフが業務遂行のために利用するデバイスは、一貫して追跡・モニタリングされ、これらのセキュリティポスチャーは、内部リソースへのアクセスを許可する際に、考慮される
省庁システムはそれぞれ分離され、相互間および内部を行き来するネットワークトラフィックは確実に暗号化される
エンタープライズアプリケーションは、内部的および外部的に検証され、インターネット経由でスタッフがセキュアに利用できるようにすることができる
連邦政府機関のセキュリティチームとデータチームが協働し、データカテゴリーおよびセキュリティルールを開発して、機微情報に対する不正アクセスを自動的に検知し、究極的にはブロックするようにする

　そして、OMBは、各連邦政府機関に対し、CISAのゼロトラスト成熟度モデルで設定された表2の5つの領域について、2024会計年度末までにゼロトラストセキュリティの目標を達成するよう求めている。

表2　米国行政管理予算局（OMB）のゼロトラストセキュリティ目標［クリックで拡大］出所：Office of Management and Budget (OMB)「Moving the U.S. Government Toward Zero Trust Cybersecurity Principles」（2022年1月26日）を基にヘルスケアクラウド研究会作成

　医療機器メーカーにとって大口の調達／購買窓口である国防総省傘下の医療施設は、既に前述の「国防総省ゼロトラスト参照アーキテクチャ第1.0版」に準拠したゼロトラストモデルの導入に取り組んでいる。OMBの「M-22-09 米国連邦政府のゼロトラスト原則への移行」の適用対象となる連邦政府機関には、食品医薬品局（FDA）や国立衛生研究所（NIH）、疾病予防管理センター（CDC）といったHHS傘下の各部門が含まれる他、退役軍人省（VA）など他省庁傘下の医療施設も含まれる。

　なお、クラウドセキュリティに関しては、連邦政府の各機関に対して情報および情報システムのセキュリティを強化するためのプログラムの開発／文書化／実践を義務付けた「連邦情報セキュリティマネジメント法」（FISMA＝Federal Information Security Modernization Act、2002年12月制定、関連情報）に基づき制定された連邦政府共通のクラウドサービス調達のためのセキュリティ基準「FedRAMP」（Federal Risk and Authorization Management Program、関連情報）が適用される。一般調達庁（GAO）は、2022年3月2日に公開したブログの中で、現行のFedRAMPとゼロトラスト原則の調和に向けた準備を行っていることを表明している（関連情報）。

　国防総省傘下の各機関については、国防情報システム局（DISA）がFedRAMPに独自の要求事項を加味した「クラウドコンピューティングセキュリティ要求事項ガイド（SRG）」（最新版はVersion 1, Release 4、関連情報）に基づく認証制度が設定されている。

FDAの次世代DX基盤を支えるゼロトラストモデル

前のページへ 1|2|3 次のページへ