今年度の連邦ゼロトラストの進捗状況:専門家によるQ&A(英語)

連邦政府の資金提供が終了し、昨年度に政府のサイバーセキュリティに見られた変化を振り返る絶好の機会です。多くの政府機関は、サイバーセキュリティ体制の強化に注力してきました。ゼロトラストはこれらの取り組みの中心にあり、ニッチな概念から中核的なセキュリティ戦略に移行してきました。  

私たちは最近、 イルミオの公共部門CTOであるゲイリー・バーレット 氏に、米国連邦政府におけるゼロトラストの進化について話し合いました。  

私たちの会話の中で、Garyは、政府におけるゼロトラストの現状、今年の連邦ゼロトラスト変革、マイクロセグメンテーションなどのゼロトラストテクノロジーが連邦サイバーセキュリティをどのように近代化しているかについての洞察を共有しました。  

Q: 米国連邦政府は数年前からゼロトラストについて話し合ってきました。過去1年間で、政府機関のゼロトラストイニシアチブはどのように進化しましたか?

A: ここ数年で、人々の理解に大きな変化がありました。以前は、 ゼロトラストについて人々を教育することに多くの時間を費やしていました。今では、それが何であるかを知っている人が増えています。私たちは、政府機関固有のニーズに対してゼロトラスト戦略がどのようなものであるべきかについて議論することにより多くの時間を費やしています。  

人々が目覚めつつある重要なことの 1 つは、ゼロトラスト製品は 1 つではないということです。ゼロトラストは、複数のテクノロジーを一緒に使用する戦略です。

アイデンティティに対する不健全な執着と呼ばれるものがまだ少しあると思います。ゼロトラストとはアイデンティティを意味するといまだに多くの人が考えていますが、私はそれが変わり始めています。

私が見ている最大の変化は、ゼロトラストテクノロジーに対する人々の考え方だと思います。その多くは露出に帰着します。セキュリティチームは、ネットワークがどれほど複雑になっているかを完全には理解していない可能性があります。彼らは、ゼロトラストモデルの下でこの複雑さを保護するための、より優れた、より簡単な方法を開発したことに気づいていないかもしれません。ゼロトラストへの取り組みの早い段階で、ほんの数年前には利用できなかった、迅速な成功を得る方法があります。

Q: あなたの経験では、ゼロトラストを構築する際に政府機関が遭遇する障害は何ですか?

A: リソース不足は、現在大きな課題です。政府機関は、予算が限られていること、人員が足りないこと、サイバースキルのギャップに対処することがよくあります。熟練労働者を惹きつけるために、より多くのリソースと利益を持つ民間企業と競争するのは困難です。新しい AI テクノロジーは、これらのリソースの課題の一部を軽減するのに役立つと思います。

もう一つの課題は考え方であり、これは公共部門と民間部門の両方に当てはまります。代理店は完璧を目指して行き詰まってしまうことがあります。CISAのゼロトラスト成熟度モデル(ZTMM)や国防総省のゼロトラストリファレンスアーキテクチャなどのゼロトラストガイダンスは、ゼロトラストを直線的なステップバイステップのプロセスとして提示し、各ステップにチェックを入れることができます。しかし、ゼロトラストの実現方法は現実ではありません。それは継続的なプロセスです。一度に多くの分野に取り組み、自分が完璧になることは決してなく、より良くなれることは決してないことを受け入れなければなりません。

また、侵害は失敗を意味する、またはセキュリティチームの問題だけであるという考え方を変える必要もあります。侵害は起こるでしょう。多くの場合、その発信元はフィッシングメールのようにセキュリティチームの制御の及ばないものです。サイバーセキュリティは全員の責任です。それには政府全体のある程度の認識が必要です。

Q: あなたは連邦政府におけるサイバースキルのギャップに注意を喚起しています。FedRAMPが支援するような官民セクターのパートナーシップは、このギャップを埋めるのにどのように役立ちますか?

A: 官民パートナーシップには乗数効果があります。これらは、政府機関に新しいテクノロジー、リスク、コンプライアンス要件に対応するために必要な柔軟性を提供します。

民間組織は、信頼できるアドバイザーとして政府と提携できます。彼らは、政府機関のチームが学ぶことが不可能なことが多い専門知識をもたらします。これは、公共部門と民間部門のセキュリティ専門家が互いに学び、洞察を共有するための優れた方法です。

情報を共有できれば、サイロを取り除き、サイバーセキュリティを一緒に改善することができます。  

Q: 連邦政府のサイバーセキュリティにおいて自動化と AI はどのような役割を果たしていると思いますか?

A: 他の組織と同様に、 セキュリティの自動化と AI は、チームの作業を迅速化し、スキル ギャップを埋めるのに役立ちます。しかし、これらのツールを使用するリスクは、政府の分野で増幅されます。  

AI モデルを構築してトレーニングする場合、従業員や市民のデータなどの機密情報が公開されるリスクがあります。このテクノロジーは非常に新しいため、トレーニング データがどこから来ているのか、どのように公開されるのかを明確に追跡する方法はまだ見つかっていません。

AI モデルにはバイアスが組み込まれている場合もあります。AI アルゴリズムは人間によって構築され、そのトレーニング データは多くの場合、人間の入力から取得されます。人間には偏見があり、多くの場合、私たちには明らかではない偏見があります。現時点では、AI が私たちの偏見に取り組んでいる方法を見つけて修正することはほぼ不可能です。これは政府にとって大きな問題になる可能性があります。  

市民は政府機関に頼り、政府機関と情報を共有することが求められています。政府からのあらゆる種類の偏見は、市民に害を及ぼす可能性があり、生死に関わる可能性さえあります。

Q: 今後、マイクロセグメンテーションなどのゼロトラストテクノロジーは連邦政府のサイバーセキュリティ戦略にどのような影響を与えると思いますか?

A: ゼロトラストは、すでに連邦政府機関のサイバーセキュリティの近代化を加速させています。マイクロセグメンテーションのようなテクノロジーは、政府機関が侵害の防止と検出のみに依存するのではなく、侵害を封じ込めるのに役立ちます。  

私たちが目にしている前向きな変化は、セキュリティが全員の仕事であることを認識する人が増えていることです。

ゼロトラストテクノロジーには、ネットワークの可視性が向上し、チーム間のコラボレーションが強化されます。人々はより優れたセキュリティ保護に慣れつつあります。現在では、特定の保護が実施されている理由よりも、なぜ実施されていないのかを尋ねることが一般的になっています。

しかし、サイバーセキュリティが主流になると、自己満足になるリスクがあると思います。一般の人々がより良い保護を要求するまで、セキュリティ対策は必要なほど迅速に進まない可能性があります。サイバーセキュリティに関するより良い、より頻繁な会話が、現在見られる勢いを継続するのに役立つことを願っています。

代理店でゼロトラストを構築する イルミオガバメントクラウド、現在は FedRAMP® Authorized。詳細については、 FedRAMP マーケットプレイス.