国家サイバーセキュリティの改善に関する行政命令(14028)は、連邦政府機関に対して、連邦政府のデジタルインフラストラクチャに対するサイバー攻撃の成功リスクを大幅に軽減するセキュリティ対策を進めるよう指示している。 2022年1月26日、行政命令(EO)14028を支持して、管理予算局(OMB)は、M 22-09エグゼクティブ部門と機関のヘッドのための覚書で連邦ゼロトラスト戦略を発表。
この記事シリーズには、メモ 22-09 で説明されているように、ゼロ トラスト原則を実装するときに、Microsoft Entra ID を一元化された ID 管理システムとして使用するためのガイダンスがあります。
Memo 22-09 は、連邦機関でのゼロ トラスト イニシアチブをサポートしています。 連邦サイバーセキュリティとデータプライバシーに関する法律に関する規制ガイダンスがあります。 メモは、米国国防総省 (DoD) ゼロ トラスト参照アーキテクチャを引用しています。
"ゼロ トラスト モデルの基本理念は、セキュリティ境界の外部または内部で動作するアクター、システム、ネットワーク、またはサービスが信頼されていないことです。代わりに、アクセスを確立しようとしているすべてのものを確認する必要があります。これは、インフラストラクチャ、ネットワーク、およびデータをセキュリティで保護する方法に関する理念の劇的なパラダイム シフトです。境界での検証から、各ユーザー、デバイス、アプリケーション、トランザクションの継続的な検証までです。"
このメモでは、サイバーセキュリティ 情報システム アーキテクチャ (CISA) 成熟度モデルを使用して、連邦政府機関が達成するための 5 つの主要な目標を特定します。 CISA ゼロ トラスト モデルでは、次の 5 つの補完的な取り組み領域について説明します。
- 同一性
- デバイス
- ネットワーク
- アプリケーションとワークロード
- データ
柱は次の要素と交差します。
- 可視
- 解析学
- オートメーション
- オーケストレーション
- 統治
ガイダンスの範囲
記事シリーズを使用して、メモの要件を満たす計画を作成します。 Microsoft 365 製品と Microsoft Entra テナントを使用することを前提としています。
詳細情報: クイック スタート: Microsoft Entra IDで新しいテナントを作成する。
この記事シリーズの手順には、メモの ID 関連のアクションに合わせた Microsoft テクノロジへの機関の投資が含まれています。
- 代理店ユーザーの場合、機関は、アプリケーションや一般的なプラットフォームと統合できる一元化された ID 管理システムを採用します
- 政府機関がエンタープライズ全体で強力な多要素認証 (MFA) を使用する
- MFA は、ネットワーク層ではなく、アプリケーション層で適用されます
- 代理店のスタッフ、請負業者、パートナーには、フィッシングに対する耐性のある MFA が必要です
- パブリック ユーザーの場合、フィッシングに対する耐性のある MFA はオプションです
- パスワード ポリシーでは、特殊文字や通常のローテーションは必要ありません
- 機関がリソースへのユーザー アクセスを承認する場合、認証されたユーザーに関する ID 情報を使用して、少なくとも 1 つのデバイス レベルのシグナルを考慮します
次の手順
- 企業全体のアイデンティティ管理システム
- 覚書 22-09 の多要素認証要件を満たす
- 覚書22-09 の承認要件を満たす
- 覚書22-09 で取り組んだゼロトラストのその他の領域
- ゼロ トラスト を使用したアイデンティティのセキュリティ保護