うちの会社の「ゼロトラスト熟成度」は？ 4段階で評価するガイダンスをCISAが公開

CISAがゼロトラスト熟成度モデルのバージョン2を発行した。CISAは同ガイダンスを確認するとともに、組織のサイバーセキュリティ対策の強化を促す。

[後藤大地，ITmedia]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年4月11日（現地時間）、「Zero Trust Maturity Model」（ゼロトラスト熟成度モデル）のバージョン2を発行した。

ゼロトラスト熟成度を「4段階」で評価

　組織のサイバーセキュリティ防御が不十分とされる現在、ゼロトラストは効果的な新しい防御の基本として注目を集めている。

　サイバーセキュリティ攻撃の巧妙さが増しており、防御側と異なり、攻撃側は一カ所突破できれば被害組織の内部に侵入できるからだ。こうした状況の中、「従来のサイバーセキュリティ防御では不十分だ」と見る向きが強まり、ゼロトラストはこうした状況における新しい防御の基本の一つとして注目が高まっている。

　CISAはゼロトラストのアプローチを次のように説明している。

Zero trust is an approach where access to data, networks and infrastructure is kept to what is minimally required and the legitimacy of that access must be continuously verified.（ゼロトラストはデータ、ネットワーク、インフラへのアクセスを最小限に留めるとともに、その正当性を継続的に検証するアプローチのこと）

　ゼロトラスト熟成度モデルは組織がこうしたゼロトラストを実現するために利用することができるガイダンスだ。ゼロトラストをどれだけ実現できているかで組織を幾つかの段階に分類するとともに、成熟度を引き上げる方法を示している。

　バージョン2では熟成度の段階として新しく「Initial」（初期）が追加され、熟成度を「従来」「初期」「高度」「最適」の4つの段階で評価するようになった。幾つかの新機能が追加された他、既存の機能もアップデートされた。

　今回公開されたゼロトラスト熟成度モデルは、さまざまな組織に適用できるようにアップデートされた点が特徴だ。ゼロトラストの視点からみると、組織はその実現度においてさまざまな状況にある。新しい熟成度モデルでは自身の組織がどの段階にあるかを確認し、そこからどのように熟成度を上げていけばよいかが示されている。

　今回公開されたバージョン2には2021年のパブリックコメント期間の意見が反映されている。バージョン2の主な対象は米国連邦政府機関だが、CISAは「全ての組織が同ガイダンスを確認し、ゼロトラストモデルを実現するための措置を講ずる必要がある」としている。