TIC 3.0 ガイダンスによってセキュリティ アプローチは変わりますか?

連邦政府機関に対するサイバー攻撃は、持続的かつ進化し続ける脅威であり、ますます高度な対応が必要となります。 クラウドやモバイル環境の利用が拡大し、リモートワーカーの数がかつてないほど増加したことで、連邦政府の広範なオンラインプレゼンスを標的とするハッカー、詐欺師、悪意のある国家関係者の脅威に対して、政府機関はより脆弱になっています。 信頼できるインターネット接続ポリシーの更新バージョン (TIC 3.0) のリリースにより、機関はこれらの新しいリスクの課題に適切に対応できるようになります。

TIC 3.0 の主な目標の 1 つは、より広範なクラウド導入や複数のデバイスを使用するリモート ワーカーの対応など、機関の近代化に向けた動きを促進することです。 あなたの機関がこれらの分野に積極的に取り組んでいる場合、今こそ TIC 3.0 ガイダンスを使用してセキュリティ アプローチをアップグレードすることを検討する絶好の機会です。

TIC 3.0 アップグレード

2007 年に導入された TIC イニシアチブは、セキュリティ制御、分析、ガバナンス、applicationSDLC プラクティスのフレームワークを確立する、連邦サイバーセキュリティにおける重要なステップでした。 TIC 3.0 は、インフラストラクチャ テクノロジー以外の側面も考慮して、安全で柔軟性があり、スケーラブルなアーキテクチャを導入するための最新のガイドラインを表しています。

この取り組みを監督する 3 つの機関、すなわち行政管理予算局 (OMB)、国土安全保障省 (DHS) のサイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA)、および米国一般調達局 (GSA) は、TIC 3.0 の目標として、クラウド通信を含む機関のトラフィックに対する可視性を提供しながら、連邦政府のデータ、ネットワーク、境界を保護することを挙げました。 主なアップグレードには、従来のネットワーク セキュリティに代わるアプローチの必要性に対応するための、より柔軟なガイダンスと実際のユース ケースが含まれます。

現在、従来の TIC、クラウド、ブランチ オフィス、リモート ユーザーの 4 つのユース ケースがあり、機関は今日の変化する作業環境に適した新しい情報技術ソリューションを促進できるようになります。 職場でリモートワークがますます一般的になっているにもかかわらず、以前の TIC バージョンではリモートワークに効果的に対応していませんでした。 COVID-19 パンデミックによりリモートワークのペースが大幅に加速し、非伝統的な作業環境に安全で信頼性の高いアクセスを提供する戦略がさらに緊急に必要になっています。 TIC 3.0 ガイドラインを適切に実装することで、各機関は連邦エンタープライズ信頼ゾーン内で安全なネットワークと境界トラフィックを促進し、それをすべての機関トラフィックに拡張できるようになります。

アーキテクチャを評価する

TIC 3.0 ユース ケース ハンドブックでは、各機関がアーキテクチャを評価してどのユース ケースが適用可能かを判断するようアドバイスし、アーキテクチャを保護して TIC 要件に準拠する方法を説明しています。 これは、特に特定のユースケースに必要なアーキテクチャ コンポーネントが不足している代理店にとって、優れたツールであると信じています。

各機関は、OMB 覚書 M-19-26に従ってネットワーク境界を保護することが求められます。 ただし、代理店ごとに異なります。 そのため、セキュリティ アプローチを決定する際にはミッションを念頭に置き、TIC 3.0 によって提示された戦略と独自のミッション目標のバランスを取ることが重要です。

政府機関にとって適切なサイバーセキュリティフレームワークが重要

TIC 3.0 フレームワークは主に、米国国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークに基づいており、次の 5 つの極めて重要なコア機能で構成されています。

識別する： リスクを評価および管理できるように、システム、人、資産、データ、機能を完全に理解します。

守る： 潜在的なサイバーセキュリティ イベントの影響を制限または抑制するための適切な保護手段を開発して実装します。

検出する： 継続的な監視ソリューションを使用すると、サイバーセキュリティ イベントの発生を迅速に検出できます。

応答する： 検出されたサイバーセキュリティ イベントの影響を抑えて対処するための対応計画を作成します。

回復する： サイバーセキュリティ インシデントの影響を受けたシステムや資産を復旧するための効果的な計画を策定し、実装します。 学んだ教訓を改訂された戦略に組み込みます。

おそらく、このフレームワークの最も重要な部分は、これらの各機能が TIC 3.0 フレームワーク内のユニバーサル セキュリティまたはポリシー適用ポイント コントロールにマッピングされていることです。 アクセス用の ID を単一の制御ポイントとして使用することは重要ですが、 F5 Labs のレポートでわかったように、侵害の 33% が最初に ID を標的にしていたことは驚くべき事実でした。 したがって、アイデンティティ境界を保護する必要性は極めて重要です。

アクセス プロキシは、単一の制御ポイントを実施するための効果的なツールであり、applicationsの前で必要なアクセス制御と認証要件を実装するための一貫した方法を提供します。 これにより、すべてのアプリケーション開発者が認証の専門家であると信頼する必要がなくなりますが、これはありそうもないシナリオです。

更新されたセキュリティ標準を実装する際には、TIC ガイダンスの適切な側面を満たす適切な適応型アプリケーションソリューションを導入することをお勧めします。 コードから顧客までの連続性に従う必要があります。この連続性は、TIC 3.0 フレームワークの多くの基本原則を統合し、満たす次の 6 つのコア要素に触れており、特に、機関の関連ユースケースに関連しています。

• アプリケーション中心の視点（インフラストラクチャ中心の視点とは対照的）
• マルチクラウド提案としてのプラットフォーム独立性
• オープンソースを核に
• 統合セキュリティ
• 組み込み分析/AI対応
• 最新のapplication開発のためのAPIファースト

機関のセキュリティ対策を綿密に見直す時期が来ています

TIC 3.0 は、セキュリティ アプローチを見直す絶好の機会です。 脅威は進化しているため、政府機関のセキュリティ専門家は警戒を怠らないことが重要であることを認識しています。 テクノロジーは変化しますが、最終的な目標は変わりません。それは、あなたの機関を保護することです。

F5がお役に立ちます: F5 の製品と機能はほぼすべて TIC ガイダンスの一部を満たしており、TIC 3.0 で概説されている推奨事項や制御の多くを満たす強力な立場にあります。 国防総省のすべての内閣レベルの機関と支部は、国民、従業員、兵士がいつでも、どのデバイスからでも、どこからでも安全にアクセスできるアプリを提供するために F5 に依存しています。 F5 では、お客様があらゆるアプリケーションをどこにでも安全に、自信を持って配信できる自由を提供します。 詳細については、F5 for US Federal Solutionsページをご覧ください。

ビル・チャーチ
最高技術責任者 – F5 US Federal Solutions