CISA、連邦政府機関におけるサイバーリスク軽減を支援する FOCAL 計画を発表

CISA の FOCAL 計画は、連邦政府民間関係機関のサイバーセキュリティ運用の標準化を目指す CISA の FOCAL 計画は、サイバー防御を強化して、政府機関のリスクを低減するための連邦政府の取り組みにおける重要な一歩です。 最近 FedRAMP 認証を取得した Tenable One for Government が、FOCAL 計画の主な優先事項にどのように対応しているかを紹介します。 

連邦文民行政機関 (FCEB) の各機関は、国家安全保障から医療や教育教育に至るまで、米国連邦政府の使命を支える独自の役割を担っています。 ただし、サイバーリスクを管理するための各機関のアプローチは大きく異なる上、各機関は相互接続されたシステムを備えた独立したネットワークを運用しており、サイバーリスクに対する許容度も異なります。 こうした複雑さのために、FCEB 全体にわたるサイバーエクスポージャー管理は複雑な課題になっております。したがって、連携のとれたサイバーセキュリティ戦略の必要性が高まっています。

この問題に対処するため、サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) は最近「連邦文民行政機関 (FCEB) 運用サイバーセキュリティ調整 (Federal Civilian Executive Branch Operational Cybersecurity Alignment、略称 FOCAL) 計画」を発表しました。 この計画は、連邦機関全体で運用サイバーセキュリティの主要な構成要素を標準化し、集団的な防衛アプローチを可能にすることによって FCEB 全体のサイバーセキュリティを強化することを目的としています。 統一的なアプローチを通じてレジリエンスを向上させ、サイバーリスクを軽減し運用を保護するために、さまざまなアーキテクチャやリスク管理戦略を活用した実践的な対策を連邦政府機関に提供します。この計画は、各機関が任務を遂行するために必要な全ての項目を網羅しているわけではありません。しかし、運用面でのサイバーセキュリティ強化や目標の整合性を促進するために、優先的にリソースを投入すべき施策の指針が示されています。

CISA の FOCAL 計画における優先事項

^{(出典: 「Federal Civilian Executive Branch (FCEB) Operational Cybersecurity Alignment (FOCAL) Plan」、CISA、2024 年 9 月)}

1. 資産管理

連邦政府のネットワークを保護するために、各機関はインフラ全体を包括的に可視化し、それらの資産がどのように相互接続されているかを継続的に評価する必要があります。 昔から言われているように、「見えないものは守れない」のです。ここで指摘されている優先事項は、各機関が持つ資産を把握し、それらを適切に保護できるようにすることを目的としています。 

こうした資産は、従来の IT 資産の枠をはるかに超えるものであることを忘れてはなりません。 最近の規制や CISA の BOD (拘束力のある運用指令) で強調されているように、政府機関はOT、IoT、クラウド、アイデンティティの資産を可視化する必要があります。 行政管理予算局 (OMB) は、覚書 M-24-04で 2024 会計年度末までに IoT 資産と OT 資産のインベントリを作成するよう連邦政府民間関係機関に指示しました。

2. 脆弱性管理

資産の正確なインベントリを取得することが重要な第一歩となります。しかし、アタックサーフェスを先行的に保護できるよう、各資産の脆弱性を理解することも同様に重要です。 FOCAL 計画では 「各機関のシステム基盤を構成する要素は、アタックサーフェスの拡大と複雑化に伴い、年々進化してきた」と指摘しています。 これにより、脆弱性管理はさらに困難になっています。 FOCAL 計画は事前対策型の脆弱性管理に重点を置き、攻撃者が脆弱性を悪用する前に、すべてのタイプの資産で脆弱性を特定し、評価し、緩和することで、各機関がエクスポージャーを把握できるようにしています。 

3. 防御可能なアーキテクチャ

攻撃は不可避なので、レジリエンスが重要です。したがってこの分野では、セグメンテーション、アイデンティティ管理、ゼロトラストセキュリティなどの原則を用いて、堅牢で防御可能なインフラを構築することに力が注がれています。 ここでの目的は、侵害が発生した場合に攻撃者が機密データにアクセスする能力を制限することに重点を置き、適切なツールと制御の実装を通じて、各機関が影響や業務の中断を最小限に抑えられるようにすることにあります。 

4. サイバーサプライチェーンリスク管理 (C-SCRM)

FCEB 機関は、サプライチェーンリスクをもたらす可能性がある、サードパーティベンダーにしばしば依存しています。 この優先事項は、各機関がサプライヤーやパートナーの脆弱なソフトウェアとハードウェアを迅速に特定し、評価し、問題を軽減できるようにすることで、外部のベンダーや技術がもたらすリスクに対処するものです。 

Log4Shell として知られる、Log4j の深刻な脆弱性 (Apache の Log4j ソフトウェアライブラリの重大なリモートコード実行の脆弱性) を例に挙げます。 この脆弱性は、多くの企業アプリケーションやクラウドサービスで Apache Log4j オープンソースロギングライブラリが広く使用されており、脆弱性の悪用が容易であったことから、甚大なリスクをもたらしました。 その後の数日間で、すべての機関や業界のセキュリティ担当者は環境内の Log4j のすべてのインスタンスを検出するよう迫られました。 多くのケースでは、 Apache Log4j ライブラリのさまざまなバージョンが、サードパーティのソフトウェアパッケージや政府の既製ソリューションの奥深くに埋もれていました。 環境全体に導入されているソフトウェアを完全に把握していた機関は、脅威に迅速に対応し、CISA の緊急指令 (ED) 22-02で定められた期限を守ることができました。 残念ながら、インベントリを完全に把握していなかったセキュリティチームは Log4Shell によってすぐに危機的状況に陥りました。

5. インシデントの検出と対応

この優先事項は、セキュリティオペレーションセンター (SOC) のサイバー攻撃を迅速かつ効果的に検出、対応、軽減するための能力強化を目的としています。 先に述べたように攻撃は避けられないため、攻撃を迅速に検出して対応することが重要なのです。 迅速な検出と対応を、セグメンテーションやアイデンティティ管理などのベストプラクティスと組み合わせることで、攻撃者が機密データにアクセスする能力をさらに阻害できます。

Tenable One で CISA FOCAL 計画の優先事項に対応

Tenable One が、中程度の影響レベルの FedRAMP 認証を取得できたことをうれしく思います。Tenable One for Government は、政府機関がアタックサーフェス全体にわたってセキュリティの可視性、インサイト、アクションを根本的に統合し、政府機関をリスクにさらすギャップを迅速に特定して修復するサイバーエクスポージャー管理プラットフォームです。 

Tenable One for Government は、以下の機能によって政府機関が CISA FOCAL 計画の優先事項を達成できるよう支援します。

• IT インフラからクラウド環境、重要インフラ、コンテナ、アイデンティティシステム、ウェブアプリケーション、そしてこれらの狭間のあらゆる領域に至るまで、アタックサーフェス全体のすべての資産を一元的に可視化します。
• 脆弱性の列挙と優先順位付けにより、危険な弱点をピンポイントで特定し、実際に重要であるエクスポージャーに焦点を当てることで、サイバーリスクを迅速に低減します。
• ゼロトラストの原則に基づく防御可能なアーキテクチャにより 、攻撃をリアルタイムで迅速に検出して対応し、攻撃経路をマッピングして、攻撃者が横方向に移動して権限昇格を行い、インフラを制御するために取り得るすべての手段を明らかにできます。
• リスクの指標とエクスポージャースコアを活用したサイバーリスク全体の深い理解を通じて、機関のインフラ全体で問題領域を容易に特定できます。 正確で追跡可能な KPI や SLA を設定すれば、各チームにリスクに対する責任を割り当てられます。

もっと詳しく

• ホワイトペーパー「CISA FOCAL Plan: Aligning Cybersecurity Across Federal Agencies with Tenable One (FOCAL 計画: Tenable One で連邦政府機関のサイバーセキュリティを連携)」
• 「Tenable One for Government」データシート