現在、国防総省は、クラウドネイティブなゼロトラスト環境の実装によるセキュリティ強化施策を進めている。同省は、2022年1月、CIO室の傘下にゼロトラスト・ポートフォリオ・マネジメントオフィス(ZT PfMO)を創設し、同年11月22日には、「DoDゼロトラスト戦略」(関連情報)を外部公表している。
その中で、ゼロトラストについて、「ユーザー、資産、リソースに焦点を当てるために、静的なネットワークベースの境界から防御を移動させるような、一連の進化するサイバーセキュリティのパラダイム」としている。図2は、国防総省ゼロトラスト戦略の全体像を示したものである。
同戦略では、「完全に実装された、省全体のゼロトラストサイバーセキュリティフレームワークで守られたDoD情報エンタープライズ」をビジョンとして、以下のような目的および目標を掲げている。
なお、国防総省は、2019年8月12日に「DoDエンタープライズDevSecOps参照設計第1版」(関連情報、PDF)を策定/公表するなど、情報システムライフサイクルにおける開発とセキュリティと運用を連携させた「DevSecOps」の導入/普及を積極的に進めており、同省の主要パートナー/サプライヤーもDevSecOpsによるソフトウェア開発体制を敷いている(関連情報:ロッキード・マーティンのソフトウェア開発体制事例)。このような流れは、国防総省向けに製品とサービスを提供する主要医療機器企業の研究開発体制にも大きな影響を及ぼしている。
次に図3は、国防総省ゼロトラストを支える柱(Pillar)を示したものである。
国防総省のゼロトラスト戦略では、「ユーザー(User)」「デバイス(Device)」「アプリケーションとワークロード(Application & Workloads)」「データ(Data)」「ネットワークと環境(Network & Environment)」「自動化とオーケストレーション(Automation & Orchestration)」「可視化と分析(Visibility & Analytics)」を柱としている。
さらに図4は、上記の7つの柱ごとに、国防総省ゼロトラストのケイパビリティを示したものである。
そして図5は、図3や図4で示した国防総省ゼロトラストの柱およびケイパビリティの実装に向けたロードマップである。
「ターゲットレベルZT」は、既知の脅威からリスクを管理するために、国防総省のデータ、アプリケーション、資産、サービス(DAAS)をセキュア化して保護する際に必要なゼロトラストのケイパビリティとして最小限のアウトカムや活動を意味しており、「自動化とオーケストレーション」と「可視化と分析」については、2026会計年度中、それ以外の項目については、2027会計年度中の完了をめざしている。
他方、「アドバンストZT」は、サイバーセキュリティリスクや脅威への適応的な対応を可能にするような、特定のZTケイパビリティのアウトカムや活動が完全にそろった状態であり、「自動化とオーケストレーション」については2030会計年度中、「ユーザー」と「デバイス」については2031会計年度中、それ以外の4項目については2032会計年度中の完了をめざしている。
Copyright © ITmedia, Inc. All Rights Reserved.