米国では 連邦政府機関、ゼロトラスト導入のタイミングが来ています

特にモバイルやクラウドベースの作業環境の時代においては、重要なデータを保護するという課題がますます増大しており、デジタル化が進むこの世界でのニーズにより適切に対応できるゼロトラストセキュリティ モデルを導入する連邦政府機関が増えています。

最近の調査によると、連邦政府の IT 幹部のほぼ半数が、デジタル リソースを保護するために、各機関が ID 中心、つまりゼロ トラストのセキュリティ戦略に移行していると報告しています。 FedScoop が作成し、Duo Security が支援したこの調査では、連邦政府機関が従来のネットワーク境界防御戦術から離れ、アイデンティティおよび認証ツールを主なアクセス手段として使用する境界のないデータ環境をより積極的に採用しつつあることが明らかになりました。

ゼロ トラストの勢いが加速し、その後の導入が進んでいることを最も如実に物語っているのは、その重要性を強調した最近のサイバー セキュリティに関する大統領令です。特に、ホワイト ハウスが最近、ゼロ トラスト アーキテクチャ戦略の最終版を公開し、今後数年間で政府機関システムのサイバー セキュリティを大幅に向上させることを目指していることがその理由です。 この変化は、マルチクラウド環境とリモートワーカーの劇的な増加と一致しています。これらは、ゼロ トラスト モデルがうまく対処する現代の作業環境の 2 つの要素です。

連邦政府機関とビジネス界全体の両方でゼロ トラスト モデルの使用が加速しているのは、ネットワークの境界を保護する従来の方法ではもはや十分ではないという認識が高まっているのと時を同じくしています。 定義された境界内に信頼できるネットワークが存在しなくなったため、「信頼するが検証する」アプローチは時代遅れになりました。 代わりに、連邦セキュリティ チームは、次の 3 つのより効果的な原則に従う必要があります。

• ユーザーとエンドポイントが実際に信頼を獲得した場合を除き、決して信頼しないでください。
  
  
• 常に検証する - エンドポイント アクティビティに適したリスクベースのアプローチを導き出すために必要なコンテキスト、アプリケーション、場所の動作分析、およびその他のコンポーネントに適用されるガイドライン。
  
  
• 一度認証しただけでは十分ではなく、それ以降はリスクが低くなると想定して継続的に監視します。 継続的な認証のみが継続的なセキュリティを保証します。

F5 は最近、ゼロ トラスト アーキテクチャの設計と構築に対する実用的で相互運用可能なアプローチを開発するために、ゼロ トラスト アーキテクチャ実装プロジェクトで NIST の NCCoE と協力する 18 のベンダーの 1 つに選ばれました。 ゼロ トラスト導入の最前線でトップの連邦機関と連携してきた当社の深い専門知識は、これらの重要な問題に対処するのに役立ちます。 F5 の広範なアプリケーション セキュリティ ポートフォリオには、以下に示すように、ゼロ トラスト アーキテクチャ内の 4 つの主要な制御ポイントが含まれています。

エンドポイント: 信頼できるアプリアクセス

F5 Labs は、2020 年にアクセス関連の侵害が既知の侵害原因の中で最も多く、34% を占めたと報告しました。 アクセス関連の侵害が増加している時代には、信頼できるアプリケーション アクセス ソリューションが不可欠です。

F5 BIG-IP アクセス ポリシー マネージャ (APM) は、すべてのアプリに最新の認証を提供し、ユーザーとアプリの場所に関係なく、アプリ、API、データへのアクセスを簡素化および一元化します。 アプリがオンプレミスにあってもクラウドにあっても、結果として SSO によるユーザー エクスペリエンスが向上し、ゼロ トラスト アーキテクチャを使用したより安全な環境で共通のユーザー エクスペリエンスが実現します。

Identity Aware Proxy (IAP) を使用すると、APM はすべてのアプリ アクセス要求を保護するゼロ トラスト モデル検証を展開します。 連邦政府機関では、特権ユーザーの認証プロセスは、APM が米国のパスポート番号を表示することから始まります。 ユーザーへの政府の警告バナー。認証に進む前に同意する必要があります。 APM は、証明書失効リストやオンライン証明書ステータス プロトコル サーバーと照合して資格情報が失効していないことを確認するなど、さまざまなオプションを使用してユーザーに強力な資格情報を要求します。

特権ユーザーにシステムへのアクセスが許可されると、APM は追加の属性を照会して、ユーザーがアクセスできるリソースを判断します。 また、クライアントが政府支給機器 (GFE) を使用しているか、ホスト ベース セキュリティ システム (HBSS) に準拠しているか、サポートされているオペレーティング システムを実行しているかを確認するなど、クライアントの整合性を確保するための高度な機能もいくつかあります。

ネットワーク インフラストラクチャ: アプリケーションセキュリティ

ゼロ トラストを実現するには、アプリが安全で利用可能であることを保証するネットワーク インフラストラクチャが必要です。 F5 Labs の調査によると、ページ読み込みの約 90% が SSL/TLS で暗号化されており、暗号化が今日では標準となっていることがわかります。 それにもかかわらず、暗号化された脅威は依然として存在します。 実際、攻撃者が暗号化を使用して悪意のあるペイロードを隠し、セキュリティ制御を回避することはよくあります。

集中暗号化制御により、受信および送信 SSL/TLS トラフィックの強力な復号化/暗号化を提供し、脅威を排除するSSL 可視性ソリューションを検討してください。 このソリューションは、ポリシーベースのオーケストレーションを提供して盲点を排除し、あらゆるネットワーク トポロジ、デバイス、またはアプリケーションのセキュリティ チェーン全体にわたってコスト効率の高い可視性を実現するポリシーベースのオーケストレーションを提供する必要があります。

用途: 政府機関の保護のためのアプリケーション層セキュリティ

F5 Labs の調査によると、組織は平均 765 個のアプリを導入しています。 サイバー攻撃者の潜在的なターゲットが非常に多いため、政府機関はゼロトラスト戦略の一環として、これらのアプリを保護することに常に注意を払う必要があります。

アプリケーション層のセキュリティ ソリューションは、アプリがクラウド、オンプレミス、SaaS ベース、または完全に管理されているかどうかに関係なく、アプリケーションまたはその近くでセキュリティを提供し、ゼロ トラスト アーキテクチャでアプリケーション スタックを保護する必要があります。

連邦政府の WAF ソリューションでは、アプリの健全性を継続的に監視する動作分析を使用して、レイヤー 7 DoS 攻撃からも保護する必要があります。 その他の機能には、ユーザー アカウントへの不正アクセスを防ぐための資格情報の保護や、API 攻撃に対するアプリの保護などが含まれます。

アイデンティティサービス: パートナーシップ

Microsoft 、 Okta 、 Pingなどの組織と緊密なパートナーシップを確立しているプロバイダーのソリューションを導入することを検討してください。 信頼できるアプリ アクセス ソリューションをこれらの Identity-as-a-Service (IDaaS) プロバイダーと統合することで、クラウドベース、SaaS、ミッション クリティカル、カスタム アプリケーション間の ID ギャップを埋め、ユーザーに統一された安全なアクセス エクスペリエンスを提供できます。

連邦政府機関も同様に、ゼロ トラストの導入を成功させるために強力なパートナーシップを構築する必要があります。 必要な専門知識とソリューションについては、ぜひ当社にお問い合わせください。 私たちの目標は、お客様が可能な限りシームレスにゼロ トラストに移行し、そのメリットを享受して代理店の改善につなげられるように支援することです。

ビル・チャーチ
最高技術責任者 – F5 US Federal Solutions

(このコンテンツの以前のバージョンは 2020 年後半に公開されました。 2022年初頭に更新されました。