CISAとは何ですか?
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国国土安全保障省(DHS)の一部門であり、政府のあらゆるレベルでのサイバーセキュリティとインフラの保護、米国各州とのサイバーセキュリティプログラムの調整、民間および国家主導のハッカーに対する政府のサイバーセキュリティ保護の強化を担当しています。
CISAは、関係者のリスク軽減能力を強化することにより、国の重要なインフラと公共の集まりの安全確保を支援する責任を負っています。CISAはこれを達成するために、国家のサイバーシステムのセキュリティ、レジリエンス、信頼性を保証するための共同の取り組みを主導しています。CISAは、多様なサイバー人材の育成、安全な技術の開発と利用の促進、ベストプラクティスの推進を目的として、民間部門、学界、政府のパートナーとの協力を通じて国家的な取り組みを推進しています。
ゼロトラストとは何ですか?
米国国立標準技術研究所(NIST)800-207で定義されているように、「ゼロトラストとは、防御の焦点を静的なネットワークベースの境界線から、ユーザー、資産、リソースへと移行させる、進化し続ける一連のサイバーセキュリティパラダイムを表す用語です」。
ゼロトラストのガイドラインを確立するために、NISTとサイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦政府のネットワークがどのように保護されているか、またそれらのネットワーク内のデータと資産が業界全体でどのように保護されているかを調査しました。
NISTとCISAは、ほとんどの組織がネットワークへの初期アクセスを制御するために、ファイアウォールやVPNなどの境界ベースの防御に大きく依存していると結論付けました。しかし、ユーザーがネットワークにアクセスすると、その活動は適切に監視または追跡されませんでした。従来の境界セキュリティ対策では、一般に、脅威の主体や悪意のある内部者を含め、ネットワーク内に入ったすべてのユーザーが信頼できると見なされます。ゼロトラストは、ネットワークの内外を問わずいかなる主体も信頼できないという前提に立つことで、組織がデータ侵害を防ぎ、資産を保護できるよう支援します。ゼロトラストでは、セキュリティに関して信頼を「脆弱性」ととらえています。
CISAゼロトラスト成熟度モデル2.0とは何ですか?
CISAのゼロトラスト成熟度モデル(ZTMM)は、急速に進化する環境と技術状況の中で、ゼロトラストに関連する継続的な近代化への取り組みを実現するためのアプローチを提供します。このZTMMは、行政命令(EO)14028「国家のサイバーセキュリティの向上」(3)(b)(ii)1に従って、組織がゼロトラストアーキテクチャへの移行計画を策定・実施する際に実行し得る数多くの経路の1つであり、この命令では、機関は、ゼロトラストアーキテクチャ(ZTA)の実装計画を策定することが義務付けられています。ZTMMはEO 14028の要件に従って連邦政府機関向けにカスタマイズされていますが、すべての組織は文書で概説されているアプローチを確認し、採用を検討する必要があります。
CISAゼロトラスト成熟度モデル2.0の柱は何ですか?
CISAのゼロトラスト成熟度モデルは、ID、デバイス、ネットワーク、アプリケーションとワークロード、データの5つの基本的な柱に分かれています。それぞれの柱には、成熟度のレベル(従来型、初期、上級、最適)に沿った要件が含まれています。
- ID:ユーザーとそれに関連付けられたデバイスの検証と認証に重点を置いています。
- デバイス:所有権に関係なく、デバイスが安全で適切に管理されていることを確認します。
- ネットワーク:境界のみに頼るのではなく、内部および外部のネットワークトラフィックの管理を重視します。
- アプリケーションとワークロード:オンプレミスとクラウドベースのアプリケーションの両方に対して、きめ細かなアクセス制御と保護ポリシーを実装します。
- データ:データの状態に関係なく、継続的に監視および暗号化します。
CISA ZTMMは、次の3つの横断的機能もサポートしています:
- 可視性と分析:ネットワークトラフィックとセキュリティ態勢に関する洞察を提供します。
- 自動化とオーケストレーション:タスクを簡素化し、セキュリティプロセスを自動化します。
- ガバナンス:セキュリティ管理のポリシーと標準を確立します。
どのような組織がCISA ZTMM 2.0を使用できますか?
NIST ZTMM 2.0は、米国政府機関を対象に、プロセスとシステムをデジタル変革する際にサイバーセキュリティを維持し向上させるためのガイドとして開発されました。しかし、あらゆる業界の大小さまざまな企業や組織によって自主的に導入されるほど柔軟性があることが証明されています。
CISA ZTMM 2.0に準拠していない場合の罰則は何ですか?
CISA ZTMMの遵守は任意です。しかし、組織がNISTフレームワークのベストプラクティスに従っていることを証明すれば、情報セキュリティへの誠実な取り組みを示すことになり、データ侵害が発生した場合の罰金や罰金に対する防御策となる可能性があります。
ThalesはCISA ZTMM 2.0への準拠をどのようにサポートできますか?
Thalesのソリューションは、コンプライアンスを簡素化し、セキュリティを自動化してセキュリティおよびコンプライアンスチームの負担を軽減することで、組織がCISAゼロトラスト成熟度モデル2.0の要件に準拠できるよう支援します。
その他の主要なデータ保護およびセキュリティ規制
PCI HSM
指令 | 現在有効
PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。
データ侵害通知法
規制 | 現在有効
個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。
GLBA
規制 | 現在有効
グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。