米国で約1億人が利用する最大規模の医療施設チェーンで進むゼロトラストの実装:海外医療技術トレンド(97)(3/4 ページ)
米国最大規模の医療施設チェーンである米軍医療システム(MHS)では、DevSecOpsやゼロトラスト環境といったクラウドネイティブセキュリティの実装が急ピッチで進んでいる。
DevSecOpsベースのゼロトラスト環境実装をめざす国防総省
現在、国防総省は、クラウドネイティブなゼロトラスト環境の実装によるセキュリティ強化施策を進めている。同省は、2022年1月、CIO室の傘下にゼロトラスト・ポートフォリオ・マネジメントオフィス(ZT PfMO)を創設し、同年11月22日には、「DoDゼロトラスト戦略」(関連情報)を外部公表している。
その中で、ゼロトラストについて、「ユーザー、資産、リソースに焦点を当てるために、静的なネットワークベースの境界から防御を移動させるような、一連の進化するサイバーセキュリティのパラダイム」としている。図2は、国防総省ゼロトラスト戦略の全体像を示したものである。
同戦略では、「完全に実装された、省全体のゼロトラストサイバーセキュリティフレームワークで守られたDoD情報エンタープライズ」をビジョンとして、以下のような目的および目標を掲げている。
- 目的1.ゼロトラストの文化的導入:全てのDoD要員は、ゼロトラストのマインドセットおよび文化について認識/理解し、訓練を受け、コミットして、ZTの統合をサポートする
- (目標)1.1 コミットメント、1.2 アウトリーチ、1.3 認識、1.4 労働力、1.5 トレーニング
- 目的2.安全で保護されたDoD情報システム:サイバーセキュリティプラクティスは、新規およびレガシーのシステムにおいて、ゼロトラストを取り入れ、運用可能にする
- (目標)2.1 ユーザー、2.2 デバイス、2.3 アプリケーションとワークロード、2.4 データ、2.5 ネットワークと環境、2.6 自動化とオーケストレーション、2.7 可視化と分析
- 目的3.技術の加速:技術は、産業の進化と同等または超えるペースで、実装する
- (目標)3.1 ケイパビリティ、3.2 アーキテクチャ、3.3 相互運用性、3.4 観念化/イノベーション
- 目的4.ゼロトラストの有効化:省およびコンポーネントレベルのプロセス、ポリシー、資金調達は、ゼロトラスト原則およびアプローチと同期する
- (目標)4.1 ポリシー、4.2 プログラミング、4.3 計画、4.4 資金調達、4.5 調達、4.6 パフォーマンス、4.7 ゼロトラストポートフォリオ・マネジメントオフィス(PfMO)
なお、国防総省は、2019年8月12日に「DoDエンタープライズDevSecOps参照設計第1版」(関連情報、PDF)を策定/公表するなど、情報システムライフサイクルにおける開発とセキュリティと運用を連携させた「DevSecOps」の導入/普及を積極的に進めており、同省の主要パートナー/サプライヤーもDevSecOpsによるソフトウェア開発体制を敷いている(関連情報:ロッキード・マーティンのソフトウェア開発体制事例)。このような流れは、国防総省向けに製品とサービスを提供する主要医療機器企業の研究開発体制にも大きな影響を及ぼしている。
国防総省のゼロトラストを支える柱とケイパビリティを体系化
次に図3は、国防総省ゼロトラストを支える柱(Pillar)を示したものである。
図3 国防総省ゼロトラストの7つの柱(Pillar)[クリックで拡大] 出所:U.S. Department of Defense 「DoD Zero Trust Strategy」(2022年10月21日)を基にヘルスケアクラウド研究会作成(2023年7月)
国防総省のゼロトラスト戦略では、「ユーザー(User)」「デバイス(Device)」「アプリケーションとワークロード(Application & Workloads)」「データ(Data)」「ネットワークと環境(Network & Environment)」「自動化とオーケストレーション(Automation & Orchestration)」「可視化と分析(Visibility & Analytics)」を柱としている。
さらに図4は、上記の7つの柱ごとに、国防総省ゼロトラストのケイパビリティを示したものである。
図4 国防総省ゼロトラストのケイパビリティ[クリックで拡大] 出所:U.S. Department of Defense「DoD Zero Trust Strategy」(2022年10月21日)を基にヘルスケアクラウド研究会作成(2023年7月)
そして図5は、図3や図4で示した国防総省ゼロトラストの柱およびケイパビリティの実装に向けたロードマップである。
図5 国防総省ゼロトラスト・ケーパビリティ実装に向けたロードマップ[クリックで拡大] 出所:U.S. Department of Defense「DoD Zero Trust Strategy」(2022年10月21日)
「ターゲットレベルZT」は、既知の脅威からリスクを管理するために、国防総省のデータ、アプリケーション、資産、サービス(DAAS)をセキュア化して保護する際に必要なゼロトラストのケイパビリティとして最小限のアウトカムや活動を意味しており、「自動化とオーケストレーション」と「可視化と分析」については、2026会計年度中、それ以外の項目については、2027会計年度中の完了をめざしている。
他方、「アドバンストZT」は、サイバーセキュリティリスクや脅威への適応的な対応を可能にするような、特定のZTケイパビリティのアウトカムや活動が完全にそろった状態であり、「自動化とオーケストレーション」については2030会計年度中、「ユーザー」と「デバイス」については2031会計年度中、それ以外の4項目については2032会計年度中の完了をめざしている。
Copyright © ITmedia, Inc. All Rights Reserved.