米国政府はゼロトラスト・アプリケーションへ

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

2021年5月12日、バイデン大統領は、国家サイバーセキュリティの向上に関する大統領令を発表しました。これには「ゼロトラスト・アプリケーション化」とも言えるべき命令が含まれています。

この大統領令は、米国で頻発しているサイバー攻撃やランサムウェアに関し、連邦政府のみならず、政府調達契約に基づいて連邦政府に納入する業者のサイバーセキュリティを強化することを目的としています。これは、NIST CMMCにて規定されたセキュリティ基準を政府機関および政府と取引のある事業者に対して以前より定められていますが、運用方法にも一歩踏み込んだ内容となっています。

大統領令は、「ゼロトラスト・アーキテクチャ(ZTA)、エンドポイントでの検知及び対応(EDR)、データの暗号化並びに多要素認証の更なる普及推進」を核としており、必要なアップデートがなされない場合には、レガシーソフトウェアを削除することも義務付けています。これは脆弱性と呼ばれるセキュリティホールに関しての言及になりますが、昨今ではこうしたセキュリティホールを突いて端末に侵入・乗っ取るケースが急増しているためです。

残念ながら一般的なエンドポイント保護(EPP)製品では、脆弱なソフトウェアの起動保留処置や、こうしたアプリケーションの乗っ取りへの対処機能は実装されておらず、エンドポイントでの検知及び対応(EDR)によって、外部送信された事実を後で確認したり、その兆候を検知するに留まっています。

昨年より米国政府は、利用ソフトウェアのリスト化の方針を打ち出しています。各政府機関が、どのソフトウェアを、どの組織で利用し、どのネットワークセグメントにてアクセス許可をさせるかなどを細かく定義・運用する方向で政府内および民間セキュリティ企業団体(NIST NCCoE)から集めています。これはソフトウェア運用においても、ゼロトラストアーキテクチャ(ZTA)を前提とし、アプリケーションのホワイトリスト化になります。

いままで利用していたソフトウェアであっても、脆弱性が発見された際には最新のものへ切り換え、これまで利用していても脆弱なソフトウェアはEPPにて起動不可能な制御がなされる見込みです。

この記事をお読みになった方は、「これはPC Maticのことでは?」とお気づきのことではないでしょうか。そうです。PC Matic PROを政府要件に適合させた製品PC Matic federalがありますが、仕組み的には「アプリケーション・ホワイトリスト方式のEPP」「EDR装備」「多要素認証(PC Matic authentication)」そのものです。

脆弱なソフトウェアを最新版に自動更新させるPC Maticがもつ機能は、連邦政府内職員のストレスを軽減させ「気がつかないうちに安全なソフトウェアになっている」環境を提供します。

マルウェアやランサムウェアに一切怯えることのないPC Matic PROを貴方の企業でも使ってみませんか? 既存セキュリティソフトの残ライセンス期限を下取りするキャンペーンを実施中です。

PC Matic, Inc.は、NIST NCCoEのメンバー企業です。

参考記事:バイデン大統領、広範囲にわたる新たなサイバーセキュリティ改革を発表(Pillsbury Winthrop Shaw Pittman LLP)

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る