ブログ

政府技術近代化法を利用してサイバーセキュリティを向上させる (現在)

マイケル・コールマン サムネイル
マイケル・コールマン
2020年9月10日公開

2017 年に政府技術近代化法(MGT 法) が成立したとき、その目的は、サイバーセキュリティ関連の取り組みを含む IT 近代化の取り組みに適用できる資金を政府機関に提供することでした。 各機関は、レガシーシステムから脱却し、俊敏で変革的なテクノロジーに投資できるように設計されたテクノロジー近代化基金からの資金援助を申請することができます。

結局のところ、MGT 法の制定は誰も想像できなかったほど先見の明のあるものであることが判明しました。

COVID-19 の影響により、従来のサイバーセキュリティ システムを最新化し、クラウドに移行する必要性が大幅に加速しました。 パンデミックにより、ランサムウェアからDDoS/DoS攻撃まで、さまざまな戦術を通じて悪質なハッカーが脆弱性を悪用する扉も開かれた。 実際、今年初めに米国は 国土安全保障省と英国の国立サイバーセキュリティセンターは、マルウェアとランサムウェアの増加について厳しい警告を発した。

もちろん、セキュリティ上の脅威はCOVID-19よりずっと前から増加していました。 パンデミックの初期段階でベライゾンが発表したレポートによると、公共部門のマルウェアによるインシデントの61%はランサムウェアによるもので、侵害の33%は内部者によるものだった。 また、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)による2020年初頭のレポートでは、「外国のサイバー攻撃者は、公的機関や民間組織を含む幅広い標的に対して、公に知られている(そして多くの場合は時代遅れの)ソフトウェアの脆弱性を悪用し続けている」と指摘されています。

境界線はない

しかし、COVID-19 により攻撃対象領域が拡大しました。 リモートワークが標準となり、ユーザーはクラウドベースのアプリケーションにますます依存するようになっています。 在宅勤務する政府職員が増えるにつれ、容量とセキュリティの要求がシステムとプロセスに負担をかけています。

これらの要因は、ますます分散化が進むネットワークと、潜在的に脆弱なアプリケーションのセキュリティを確保する任務を負っている IT セキュリティ チームにとって課題となります。 以前は、ネットワーク境界を守るために従来のセキュリティ ソリューションに依存していたかもしれませんが、今日では境界は基本的に存在しません。

そのため、組織はさまざまな面でのセキュリティを確保するために、MGT 法の資金を複数の形式の動的保護に投資することを検討する必要があります。 たとえば、特権ユーザーのアクセスを監視し、ID 管理プロトコルを実装すると、適切なユーザーだけがネットワークと機密性の高い情報にアクセスできるようになります。 一方、アプリケーション セキュリティ ツールは、API の脆弱性、インジェクション、クロスサイト スクリプティング攻撃などに対する保護を提供します。

組織は、マルチクラウド プラットフォームやハイブリッド クラウド プラットフォーム全体でセキュリティ ポリシーが一貫していることも確認する必要があります。これにより、柔軟性とコスト面で大きなメリットが得られますが、同時に複雑さも大幅に増大します。 さまざまなクラウド プロバイダーがさまざまなポリシー (データ セキュリティの責任は顧客にあることを確立する共有責任モデルなど) に準拠しており、複数のクラウドにわたるアプリケーション セキュリティを明確に把握することが困難な場合があります。 オンプレミスとさまざまなクラウド環境全体でセキュリティを自動化することで、アプリケーションが同じポリシーの対象となり、格納場所に関係なくセキュリティが維持されます。

成功のためのフレームワーク

政府機関は、利用可能な資金を新しいサイバーセキュリティ技術に投資することを検討すると同時に、それらの技術を活用するために役立つサイバーセキュリティ フレームワークの構築も開始する必要があります。 米国国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークは理想的な出発点です。

NIST サイバーセキュリティ フレームワークは、リスク管理に対して総合的なライフサイクル アプローチを採用することで、機関がより優れたリスク管理プラクティスを確立するのに役立ちます。 NIST が定めたガイドラインを使用して、機関は識別、保護、検出、対応、回復という 5 つのコア機能を通じて継続的にリスクを評価および軽減します。 前述のテクノロジーは、潜在的な脆弱性を可視化し、侵害が発生した場合に修復する方法を提供するため、これらすべてのカテゴリにうまく適合します。

NIST サイバーセキュリティ フレームワークは、組織に標準化された構造を提供し、それを通じて高度に適応したセキュリティ プログラムを作成できるため、便利なツールです。 柔軟性を備えているため、組織は独自のニーズに合わせてカスタマイズできると同時に、リスクを管理し脆弱性に対処するための共通の青写真も提供できます。 組織は、NIST が推奨する標準とベスト プラクティスを活用しながら、独自のセキュリティ ポリシーをフレームワークに組み込むことができます。

代償を払わないでください

最近の Ponemon レポートによると、データ侵害の平均コストは驚くべき 386 万ドルです。 特に、パンデミックの影響で予算が引き続き削減され、政府機関を含む多くの組織が、より少ないリソースでより多くのことを行うことを求められていることを考えると、これは驚くべきことです。

明らかに、政府機関は文字通りにも比喩的にも警戒を緩めるわけにはいかない。 今こそ、MGT 法を通じて得られる資金の一部を、進化する脅威から保護し、データと潜在的に数百万ドルを節約できる最新の自動化されたサイバーセキュリティ ソリューションに投資すべき時です。 F5 ソリューションが連邦政府機関のネットワークのセキュリティ保護、コストの削減、そして任務の達成にどのように役立つかについて詳しくご覧ください。


F5 の連邦ソリューションエンジニアリングリーダー、マイケル・コールマン