米国連邦政府全体のレベルでは、2021年9月7日、米合衆国行政管理予算局(OMB)が、「米国連邦政府のゼロトラスト原則への移行」草案を公表し、2021年6月に「ゼロトラスト成熟度モデル」草案(関連情報、PDF)を公表していた国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と共同で、パブリックコメントの募集を開始した(関連情報)。
その後OMBは、各界から寄せられたパブリックコメントを受けて、2022年1月26日、「M-22-09 米国連邦政府のゼロトラスト原則への移行」最終版(関連情報、PDF)を公表している。本文書は、ゼロトラストアプローチの概念や基本的な考え方について、「国防総省ゼロトラスト参照アーキテクチャ第1.0版」(2021年2月4日、関連情報、PDF)を参照した上で、以下のようなポイントを掲げている。
そして、OMBは、各連邦政府機関に対し、CISAのゼロトラスト成熟度モデルで設定された表2の5つの領域について、2024会計年度末までにゼロトラストセキュリティの目標を達成するよう求めている。
医療機器メーカーにとって大口の調達/購買窓口である国防総省傘下の医療施設は、既に前述の「国防総省ゼロトラスト参照アーキテクチャ第1.0版」に準拠したゼロトラストモデルの導入に取り組んでいる。OMBの「M-22-09 米国連邦政府のゼロトラスト原則への移行」の適用対象となる連邦政府機関には、食品医薬品局(FDA)や国立衛生研究所(NIH)、疾病予防管理センター(CDC)といったHHS傘下の各部門が含まれる他、退役軍人省(VA)など他省庁傘下の医療施設も含まれる。
なお、クラウドセキュリティに関しては、連邦政府の各機関に対して情報および情報システムのセキュリティを強化するためのプログラムの開発/文書化/実践を義務付けた「連邦情報セキュリティマネジメント法」(FISMA=Federal Information Security Modernization Act、2002年12月制定、関連情報)に基づき制定された連邦政府共通のクラウドサービス調達のためのセキュリティ基準「FedRAMP」(Federal Risk and Authorization Management Program、関連情報)が適用される。一般調達庁(GAO)は、2022年3月2日に公開したブログの中で、現行のFedRAMPとゼロトラスト原則の調和に向けた準備を行っていることを表明している(関連情報)。
国防総省傘下の各機関については、国防情報システム局(DISA)がFedRAMPに独自の要求事項を加味した「クラウドコンピューティングセキュリティ要求事項ガイド(SRG)」(最新版はVersion 1, Release 4、関連情報)に基づく認証制度が設定されている。
Copyright © ITmedia, Inc. All Rights Reserved.