うちの会社の「ゼロトラスト熟成度」は? 4段階で評価するガイダンスをCISAが公開
CISAがゼロトラスト熟成度モデルのバージョン2を発行した。CISAは同ガイダンスを確認するとともに、組織のサイバーセキュリティ対策の強化を促す。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2023年4月11日(現地時間)、「Zero Trust Maturity Model」(ゼロトラスト熟成度モデル)のバージョン2を発行した。
ゼロトラスト熟成度を「4段階」で評価
組織のサイバーセキュリティ防御が不十分とされる現在、ゼロトラストは効果的な新しい防御の基本として注目を集めている。
サイバーセキュリティ攻撃の巧妙さが増しており、防御側と異なり、攻撃側は一カ所突破できれば被害組織の内部に侵入できるからだ。こうした状況の中、「従来のサイバーセキュリティ防御では不十分だ」と見る向きが強まり、ゼロトラストはこうした状況における新しい防御の基本の一つとして注目が高まっている。
CISAはゼロトラストのアプローチを次のように説明している。
Zero trust is an approach where access to data, networks and infrastructure is kept to what is minimally required and the legitimacy of that access must be continuously verified.(ゼロトラストはデータ、ネットワーク、インフラへのアクセスを最小限に留めるとともに、その正当性を継続的に検証するアプローチのこと)
ゼロトラスト熟成度モデルは組織がこうしたゼロトラストを実現するために利用することができるガイダンスだ。ゼロトラストをどれだけ実現できているかで組織を幾つかの段階に分類するとともに、成熟度を引き上げる方法を示している。
バージョン2では熟成度の段階として新しく「Initial」(初期)が追加され、熟成度を「従来」「初期」「高度」「最適」の4つの段階で評価するようになった。幾つかの新機能が追加された他、既存の機能もアップデートされた。
今回公開されたゼロトラスト熟成度モデルは、さまざまな組織に適用できるようにアップデートされた点が特徴だ。ゼロトラストの視点からみると、組織はその実現度においてさまざまな状況にある。新しい熟成度モデルでは自身の組織がどの段階にあるかを確認し、そこからどのように熟成度を上げていけばよいかが示されている。
今回公開されたバージョン2には2021年のパブリックコメント期間の意見が反映されている。バージョン2の主な対象は米国連邦政府機関だが、CISAは「全ての組織が同ガイダンスを確認し、ゼロトラストモデルを実現するための措置を講ずる必要がある」としている。
関連記事
- Azure、AAD、M365に潜む脅威の検知を支援 CISAがデータ収集ツールを提供開始
CISAは、Microsoftのクラウドプラットフォーム向けのインシデント対応ツール「Untitled Goose Tool」を公開した。脅威兆候の察知などに役立つとされている。 - 「ESXiArgs」ランサムウェア被害に備えよ リカバリースクリプトをCISAが公開
CISAはVMware ESXiの脆弱性を悪用したサイバー攻撃キャンペーン「ESXiArgs」のリカバリースクリプトをリリースした。既にこれを使って一部の組織が仮想マシンの復旧に成功したと報告している。 - CVSSスコアは9.6と9.8 ChromeとOracle製品の脆弱性がCISAカタログに加わる
Google ChromeとOracle Fusion Middleware Access Managerの脆弱性が「既知の悪用された脆弱性カタログ」に追加された。CVSSスコアはそれぞれ9.6と9.8となっているため、いま一度確認してほしい。 - ソフトウェアサプライチェーンのリスクに備えよ CISAらがガイダンスを公開
CISAとNSA、ODNIはカスタマー向けに、ソフトウェアサプライチェーンに対するセキュリティ強化の実践ガイダンスを公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.