/
サイバー・レジリエンス

行政命令14028号によるゼロトラストに関する3つのポイント

2021年5月、バイデン政権は以下を発表しました エグゼクティブ・オーダー (EO) 14028、サイバーセキュリティを強化する任務を連邦政府機関に任せ、特に勧告する ゼロトラストセキュリティプラクティス

EOは、公共部門と民間部門の多くの組織のデジタルトランスフォーメーションを加速させたCOVID-19パンデミックの直後に開催されました。ほぼ一夜にして組織はリモートワークに移行し、クラウドへの移行はより差し迫った要件となりました。

さらに、次のような複数の注目度の高いサイバー攻撃がサプライチェーンに大きな影響を及ぼしました。 ソーラーウィンズコロニアルパイプライン、および JBS ミートプロセッシング

EO 14028から1年が経過した今、振り返って実装の進捗状況を確認できるようになりました 連邦政府機関間のゼロトラスト

イルミオのフェデラルフィールドCTOであるゲイリー・バーレットは、米国空軍および宇宙軍の元CISOであるニコラス・M・シャイランとともに、EO 14028が主催するウェビナーでEO 14028の影響について話し合いました。 重要インフラ技術研究所 (ICIT)

ウェビナーはこちらからご覧ください。

読み続けて、彼らの議論から得た3つの主要なポイントを学びましょう。

EO 14028はゼロトラストの導入を促進しました

BarletとChaillanは、昨年5月の大統領令以降、ゼロトラストに向けた進展があったことに同意しています。この命令は、連邦政府機関や民間組織のセキュリティチームが議論を続け、ゼロトラスト構想のための資金を得るのに役立ちました。

バーレットとシャイランが言ったように、「行政命令は決して害にはならない」。

最も重要なのは、セキュリティチームがゼロトラストセキュリティ戦略の証拠を政府から得たことです。

「ゼロトラストを実装しようとしている人にとっては、何か指し示したり参考にしたりできるものがあると、ずっと役に立ちます」とバーレット氏は言います。

そして多くの機関にとって、ゼロトラストに関する議論は行政命令から始まりました。Challain によると、このことがゼロトラストに対する人々の考えを変え、従来のサイバーセキュリティモデルから現代のベストプラクティスへとコンセンサスを移すのに役立ったそうです。

これは以下の通りです ゼロトラストはここ数年で民間セクターで成功を収めてきている —そして、連邦政府と軍がサイバーセキュリティにおいてどれほど遅れをとっているかを示しています。

「今後数年間は、ゼロトラストの成功が増える興味深い時期になるでしょう。今後、成功するには考え方の変化が必要だ」とバーレットは説明する。

連邦政府機関は、避けられない侵害の影響を最小限に抑えるためにゼロトラストを使用しています

行政命令以外にも ゼロトラストには真のメリットがあります 今日の高度なサイバー脅威から組織を保護するためのものです。

レガシーセキュリティツール これまでは境界に注目してきましたが、現代のネットワークは分散して高度に接続されているため、境界線はもはやかつてのように存在しなくなっています。これにより、ネットワークは攻撃を受けやすくなります。

「毎年、毎年、このお金を全部使おうとしてる人がいるのを耳にします 防ぐ 違反だが、何が起こるかについての議論はない 侵害が発生しました」とBarlet氏は言います。

A ゼロトラスト戦略は侵害が発生することを前提としています また、攻撃が発生した場合の影響を軽減する方法も提供しています。

しかし、BarletとChallainはどちらも、いくつかあったことに同意しています ゼロトラストが実際に何を意味するのかについての混乱 —そして、それが既存のセキュリティアーキテクチャにどのように適合するか。

「ゼロトラストは、侵害を防ごうとは考えていないようですが、実際はそうではありません」とBarlet氏は説明します。「私たちは侵害の防止をあきらめるつもりはありませんが、侵害の侵入を許す1つの間違いや脆弱性、そして壊滅的な攻撃をどのように防ぐことができるかについても計画を立てましょう。」

全体として、BarletとChallainは、機関にネットワークフローを可視化し、不要なコミュニケーションを止め、ゼロトラストセグメンテーション(別名:ゼロトラストセグメンテーション)を導入することを推奨しました。 マイクロセグメンテーション、侵害の拡大を制限するため。

連邦政府機関向けのゼロトラストセグメンテーション:どこかから始めましょう

ネットワークをセグメント化するというアイデアは何年も前から存在していますが、BarletとChallainは、今日の広大なネットワークにより、IPアドレスまたはVLANを使用する従来のセグメンテーション方法がほぼ不可能になっていることについて話し合いました。両者ともセグメンテーションの規模をはるかに小さくすることを提唱しています。

特に、ネットワークには必要だとバーレット氏は言います ゼロトラスト セグメンテーションは、攻撃者が侵入する脆弱性をもたらすユーザー、アプリケーション、環境の数が増え続けるのを防ぐためのものです。

ゼロトラストセグメンテーションの差し迫った必要性にもかかわらず、BarletとChallainは次のように指摘しました。 多くの機関がこのプロセスに圧倒されています

「誰が、どこで、いつ何にアクセスしているかを知る必要があります。次に、これらの通信フローのうち、どれが不要でブロックできるのかを知る必要があります。これらすべての質問をまとめてみると、非常に気が遠くなるようなものです」とBarlet氏は言います。

ゼロトラストセグメンテーションプロジェクト全体を一度に完了する必要はありません。バーレットとシャランはお勧めします 漸進的アプローチ 高額なコスト、混乱、潜在的な管理上の肥大化を避けるためです。

「すべてを一度にやろうとしないでください。どこかから始めて」とバーレットは言った。

BarletとChallainは、最初にゼロトラストセグメンテーションプロジェクトの範囲を狭めることで、政府機関は次のことができることに同意しました。

  • 細部に圧倒されることは避けてください。
  • すぐに改善してください サイバーセキュリティ 姿勢。
  • 将来の取り組みにおけるゼロトラストの有効性を証明する機会を得てください。

「ゼロトラストの旅のどこかにたどり着く唯一の方法は、始めることです。成功は成功を生みます」とバーレットは言います。

イルミオとゼロトラストセグメンテーションの詳細については、以下をご覧ください。

関連トピック

アイテムが見つかりません。

関連記事

見えない、心の外:クラウドの可視性を無視することの危険性
サイバー・レジリエンス

見えない、心の外:クラウドの可視性を無視することの危険性

従来の可視化アプローチが機能しなくなった理由と、ハイブリッドマルチクラウド環境を完全に可視化する方法を理解してください。

Steph Curry エンタープライズセキュリティに関するその他の教訓:何かがおかしくなったとき
サイバー・レジリエンス

Steph Curry エンタープライズセキュリティに関するその他の教訓:何かがおかしくなったとき

セキュリティチームは、このような決定をいつでも臨機応変に行う必要があり、状況についてアクセスできるデータが多ければ多いほど、より適切な意思決定を行うことができます。

2023年11月のサイバーセキュリティトップニュース記事
サイバー・レジリエンス

2023年11月のサイバーセキュリティトップニュース記事

今月のベストニュース記事で、AI とクラウドの安全性、イノベーション、セキュリティに関する洞察を得ましょう。

アイテムが見つかりません。

Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。

Ready to learn more about Zero Trust Segmentation?