Yubicoは、多くの連邦政府機関や請負業者、規制対象産業のお客様と連携しており、新しいコンプライアンス規制がもたらす課題について理解しています。 5月12日に発表された大統領令は、PIV(個人識別確認)カードやCAC(共通アクセスカード)を使用した認証ができない事例向けの、多要素認証(MFA)への移行を連邦政府が全面的に受け入れたことを示しています。 この命令は、政府職員だけでなく、各省庁をサポートする何千もの請負業者にも影響を与えることが予想され、多くの場合、PIVやCACの資格対象にならないことがあります。 YubicoのQuick Takeという記事では、この指令が連邦政府機関、ひいては連邦政府機関と連携する企業に要求している基本的事項を説明しています。 サイバーセキュリティ大統領令では、MFAとZero Trust Architect(ゼロトラストアーキテクト)が、連邦政府機関の近代化と安全性を確保するための新しい標準になることを明確に示しています。
サイバーセキュリティとプライバシーを専門とする法律事務所Venable LLPのサイバーセキュリティサービス担当シニアディレクターであるロス・ノダーフト氏は、「政府は、最新の認証基準と技術を活用して、政府機関がゼロトラストアーキテクチャや(ゼロトラストの)環境に移行する際のリスクを大幅に軽減する機会を得ました」と言っています。
しかし、省庁と契約しているか、あるいは省庁との契約を推進している企業であれば、必然的に「さて今回は何をすれば良いのか?」という疑問が生じます。
Venable LLPのテクノロジー部門のマネージングディレクターであり、NSTIC(サイバースペースにおける信頼できるアイデンティティに向けた国家戦略)プログラムのアーキテクトでもあるジェレミー・グラント氏は、「コントラクターやベンダーのコミュニティは、この大統領令の施行を注意深く見守る必要があります」と述べています。 「政府に製品やサービスを提供している企業のサイバーセキュリティ対策の強化など、サプライチェーンの安全確保に重点が置かれているため、この業界にも新たなコンプライアンス要件が発生する可能性があります。 MFAはその中心的な役割を担うことになります。」
導入ガイダンスが出るまでは、企業は未知の部分が多いため、計画をたてることができないように感じるかもしれません。 各社はどのくらいのスピード感で命令に従うのか? この命令は、特定のタイプの企業に他の企業よりも大きな影響を与えるだろうか? この命令を受けて、各省庁は請負業者にどのような証明書を要求するのか?
新しい要件の実装方法を詳細に説明するガイダンスが発表されるまで、これらの質問への回答は得られません。
以下に、政府機関がサイバーセキュリティ大統領令に記載されている対策を受け入れるために、今日からできることを記載します。
- まずは深呼吸。 これは23ページにもおよぶ命令で、多くの場合、情報収集のデューデリジェンス(適正評価)を行う前に即座に対応することは、かえって逆効果になる可能性があります。 この命令は、あなたの組織がすでに実施しているはずの確立されたサイバーセキュリティのベストプラクティス次第となります。
- 自社のデータ、ソフトウェア、管理・統制を確認。 請負業者や関連サービスプロバイダー(詳細は国土安全保障省から発表される予定)に対する要件の多くは、ログの保持、インシデントの報告、サプライチェーンの監視が中心となるはずです。 そのため、社内でセキュリティ管理と報告がベスト・プラクティスに従っているかどうかを確認する取り組みを始めることに価値があります。 機密データがオンプレミスやクラウドのどこにあるか、そして誰がデータにアクセスできるのかを正確に把握していますか? サプライチェーンには誰が関わっているか、強力な認証方法は導入されていますか? ログデータを保持しているか、ログデータを保持しているプロバイダーと連携していますか? これらの質問に対する明確な答えを事前に用意しておけば、政府機関のガイドラインを満たすために有利な立場に立つことができます。 また、大統領令のセクション4では、「重要なソフトウェア」の定義と、特に外部ベンダーから購入したソフトウェアに対する適切なセキュリティ対策の確保について言及しています。
- あとはプロセスです。 今後数ヶ月の間に、大統領令を進めるための推奨方法についてホワイトハウスに報告書が提出されますが、最終的にどのような結果になるのかは予測できません。 規制案の最新情報を入手し、担当機関と緊密に連携することが重要です。 最終的なアプローチがどのようなものになるかは正確にはわかりませんが、サイバーセキュリティのベストプラクティスに従っていれば、新しい規制に対応できる状態になるはずです。
- 省庁のカウンターパートとの連携。 省庁も彼らのパートナーと同様に不安な日々を送っています。 連絡先に接触して、大統領令の意味するところを話しあってみませんか? この問題に関して彼らの「裏方」となり、彼らが必要とする可能性のある目録やその他の報告書のすべてをあなたから得て揃っていることを確認します。 あなたは長い間、彼らと苦労をともにしているのです。 「私たちは、連邦政府機関とその請負業者やサプライヤーの両方と密接に仕事をしています」とグラント氏は言っています。 「政府機関の同僚が常々言っているのは、最高のパートナーシップとは、新しい政策が企業に課すと思われる要求事項を予測し、創造的な解決策を考えてくれる企業とのパートナーシップだということです。」
- これをセキュリティ・ベンダーにとって手っ取り早い勝利として扱わない。 目先のチャンスについてではなく、国をより安全にするための長旅です。 これを資本投入の新たな棚ぼたとして見たくなりますが、実際には国家の安全保障を改善する本当のチャンスなのです。 ただ単にポイントソリューションを導入するのではなく、セキュリティリスクにどう対処するのがベストかを理解するまでの時間を費やすことは、私たち全員にとってはるかに良いことです。 ゼロトラストのコンセプトやアーキテクチャの導入は、月単位ではなく、数年、数十年単位で評価される継続的なプロセスです。 MFAには様々な選択肢が並んでいますが 、すべてのMFAが同レベルに作られているわけではありません。 脆弱なMFAオプションは、ある程度の保護機能を備えているものの、バイパスすることもできます。 長い目で見て、現在から将来にかけてのセキュリティ投資に備えて、最強レベルのMFAを検討してみてはいかがでしょうか。
- 今後の予算サイクルの中に、資金要求を組み込む。 現在の潜在的な資金提供機関は、サイバーセキュリティ、近代化、アイデンティティの要件を満たすために、この命令を活用することができます。 それらの機関には、技術近代化基金(TMF)やアメリカン・レスキュー・プラン(ARP)基金なども含まれます。 しかし、多くの中小企業にとって、サイバーセキュリティの追加プロジェクトに予算が使えるようになるまでには、しばらく時間がかかる可能性があり、各省庁の予算増額や将来の予算に期待する必要があります。 これは、今四半期末までに計画を固める必要がないため、待つ必要があるという意味ではありません。 ですが若干の猶予期間はあります。
- 不確実性を受け入れ、柔軟性がある強力な認証へと移行する。 最終的な方向性がわからなくても、あなたは業界が構築しようとしている方向に同調すべきです。 数多くのIAM(アイデンティティ&アクセス管理)プロバイダー、OS、ブラウザと連携するFIDO準拠のセキュリティキーは、省庁がどのようなタイプのMFAに移行するかがわかっている場合に、最大限の対応力を発揮します。 1つのYubiKeyでスマートカード(PIV)認証情報とFIDO認証情報を保持することができ、レガシーインフラと最新インフラをつなぐ強力な認証ブリッジとなります。
われわれは今後もこのサイバーセキュリティに関する大統領令については、新たな報告書や各省庁の報告書の作成日に合わせてフォローアップしていきます。今のところは、業界のサイバーセキュリティのベストプラクティスに照らし合わせて、自社の内部セキュリティ対策を評価し、各省庁の担当者に連絡を取って、この大統領令やサイバーセキュリティの向上についての考えを聞いてみてください。 また、6月29日に開催されるラウンドテーブル・ウェビナーThe President’s Cybersecurity Executive Order(サイバーセキュリティに関する大統領令):ゼロトラストと強力なMFAを実現するために.もご登録をお願いします。 最近発売されたYubiKey 5 FIPSシリーズは、FIPS 140-2、Overall(全般)Level 1(レベル1)およびLevel 2(レベル2)の認証を受け、さらにPhysical Security Level 3(物理的セキュリティレベル3)を達成しています。YubiKey 5 FIPSシリーズは、NIST SP800-63Bで定義されているAAL3(Authenticator Assurance Level 3=オーセンティケーター保証レベル3)の要件を満たすことができます。 新製品「YubiKey 5 FIPSシリーズ」の詳細については、Yubicoのウェブサイトをご覧ください。 このシリーズは、Yubicoストア, Yubicoの専任セールスチーム、またはYubicoが承認したチャネルパートナーおよびリセラーからも購入できます。
