大統領令14028：知っておくべきこと

大統領令14028（米国サイバーセキュリティ大統領令）とは？

2021年5月に署名された大統領令14028は、米国のサイバーセキュリティ政策と慣行の大幅な見直しを意味する。その主な焦点は、特に高度化し頻発するサイバー攻撃に直面して、国家のサイバーセキュリティ防御を強化することである。この包括的な指令は、連邦政府機関やより広範なサイバーセキュリティ・コミュニティに対する具体的な行動と戦略の概要を示している。

この命令の主要な側面には、連邦政府機関全体でより厳格なサイバーセキュリティ基準と慣行を導入することが含まれている。これには、既存のサイバーセキュリティ・インフラの近代化、高度なサイバーセキュリティ技術の採用、全体的なサイバー回復力の強化が含まれる。この命令は、重要なインフラを保護し、サイバー脅威を特定、抑止、対応する政府の能力を向上させることに重点を置いている。このEOに従い、NISTは、組織や機関が以下の指令に準拠するのを支援する新しいサイバーセキュリティフレームワークを発表した。

さらにこの指令は、ソフトウェアのサプライチェーンを保護するための標準、ツール、ベストプラクティスの開発を義務付けている。最近のサイバー攻撃で露呈した脆弱性を認識し、指令は連邦政府機関が使用するソフトウェアのセキュリティと完全性を確保することの重要性を強調している。

コラボレーションと情報共有も、この秩序の中心的な考え方である。官民のパートナーシップを奨励し、国家のサイバーセキュリティに対する統一的なアプローチを促進する。これには、脅威情報やセキュリティのベストプラクティスの共有、新しいサイバーセキュリティ技術や戦略の開発における協力的な取り組みが含まれる。

大統領令の全文はこちらをクリック。

推奨図書：SIEMとは何か、なぜ重要なのか、そして13の主要機能。

大統領令14028の影響を受けるのは誰か？

大統領令14028は、主に連邦政府機関に影響を与えますが、州政府、地方自治体、法執行機関、請負業者、民間企業など、他の組織にも関連します。この点について、さらに詳しく調べてみよう。

政府機関

政府機関は、この命令の影響の最前線にいる。ゼロトラストアーキテクチャの採用、安全なクラウドサービスの導入、ソフトウェアのサプライチェーンセキュリティの強化など、サイバーセキュリティの実践に大きな変化をもたらすことが求められている。

さらに、より広範なサイバーセキュリティ業界のための新たなガイドラインや基準を策定する任務も担っている。これには、民間セクターや学界と協力し、彼らの専門知識を活用して国家のサイバーセキュリティを強化することが含まれる。

州および地方自治体、法執行機関

州および地方の自治体も、法執行機関とともに、この命令の影響を受ける。これらの自治体には、サイバーセキュリティの実践を新しい基準に合わせることが求められ、機密データや重要インフラを保護する能力が強化される。

さらに、地方レベルでこの命令を実施する上で重要な役割を担っている。新ガイドラインを施行し、自治体、州、連邦政府機関と取引する組織だけでなく、地方機関のコンプライアンスを確保する責任がある。

請負業者

連邦政府機関と仕事をしている請負業者も、この命令の影響を受けるグループである。この命令は、サイバーセキュリティの脅威に関するデータを連邦政府と共有することを義務付けている。さらに、請負業者は新しいサイバーセキュリティ基準を満たし、彼らが扱う連邦政府のデータのセキュリティを確保する必要がある。

これは、暗号化、安全な開発手法、定期的なセキュリティ監査など、強固なサイバーセキュリティ対策を実施することを意味する。また、各機関がリスクを評価し、十分な情報に基づいた意思決定を行えるよう、セキュリティ対策の透明性を高めることも重要です。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験では、大統領令 14028 を遵守するには、サイバーセキュリティの防御を強化するための革新的なアプローチと先進的な手法を取り入れる必要があります。ここでは、コンプライアンスを確保し、セキュリティ体制を強化するための実用的なヒントを紹介します：

ゼロ・トラストの優先順位を徐々に上げる

価値の高い資産から着手し、ゼロトラスト・アーキテクチャを段階的に拡大する。マイクロセグメンテーション、多要素認証（MFA）、リアルタイムアクセス監視を使用して、重要なシステムとデータを保護する。

ソフトウェア部品表（SBOM）管理の自動化

社内製ソフトウェアとサードパーティ製ソフトウェアの両方について、SBOM を生成、レビュー、継続的に更新するツールを活用する。これにより、ソフトウェアのサプライチェーンに対する継続的な可視性が確保され、EO 14028 の要件に合致する。

AIとMLによる継続的モニタリングの導入

人工知能と機械学習を使用して脅威を検出し、対応する高度な監視ツールを導入する。これにより、検知精度が向上し、ノイズが減少し、インシデントレスポンスが加速します。

チーム間でのインシデント対応プレイブックの標準化

インシデントの検出、封じ込め、調査、復旧の手順を段階的に記載した詳細なプレイブックを作成する。卓上演習やライブ・シミュレーションを通じて、これらを定期的にテストする。

ファイル整合性モニタリング（FIM）とSIEMの統合

FIMツールを導入し、その出力をセキュリティ情報およびイベント管理（SIEM）プラットフォームと統合します。これにより、重要なファイルへの不正な変更に関するリアルタイムアラートが提供され、検出機能が強化されます。

大統領令 14028：主な要件と目標の概要

米国全土におけるサイバーセキュリティの防御強化

国家のサイバーセキュリティ防衛の強化は、大統領令14028の中心的な焦点である。巧妙なサイバー脅威が増加する中、この指令は徹底的かつ重層的な防御アプローチを求めている。これには、既存の防御を強化するだけでなく、潜在的なセキュリティの脆弱性を積極的に特定し、対処することも含まれる。

この取り組みは政府機関に限ったものではない。この命令では、民間企業にも同様のセキュリティ対策を奨励し、私たちが直面しているサイバーセキュリティの課題に対して、全国規模で一丸となって対応する必要性を強調している。要するに、この命令は、サイバー脅威に対する統一された毅然とした戦線を構築しようとしているのである。

ソフトウェア・サプライチェーンのセキュリティ強化

最近の著名なサイバー攻撃によって浮き彫りになったように、ソフトウェアのサプライチェーンは、脆弱性の重要な領域として浮上している。大統領令14028号は、連邦政府機関と請負業者に対し、ソフトウェア・サプライ・チェーンのセキュリティを大幅に強化するための措置を講じるよう指示している。

これは、悪意ある行為者に悪用される可能性のある脆弱性のない、安全な方法でソフトウェア製品が開発され、提供されることを保証することを意味する。この命令はまた、ソフトウェア開発プロセスの透明性を高め、ユーザーが自分たちが使用する製品のセキュリティについて十分な情報を得た上で判断できるようにすることも求めている。

連邦政府機関のサイバーセキュリティ・ツールとプレイブックを近代化する

大統領令は、多くの連邦機関が時代遅れのサイバーセキュリティ・ツールと慣行で運営されていることを認識している。これに対処するため、同大統領令は連邦機関のサイバーセキュリティ・ツールとプレイブックの近代化を義務付けている。

これには、最先端のサイバーセキュリティ技術の導入、リスク管理のベストプラクティスの採用、サイバーインシデントに効果的に対応するために必要なリソースの連邦政府機関への確保などが含まれる。さらに、この命令は、継続的な学習と改善の文化を育成することを目指しており、各機関は最新の脅威情報に基づいてサイバーセキュリティの実践を定期的に見直し、更新する。

サイバーセキュリティ・インシデントの検出と報告の改善

効果的な検知は、サイバーセキュリティ戦略の重要な要素である。大統領令 14028 は、サイバーセキュリティ・インシデントの検知における大幅な改善を求めている。これには、政府機関と民間企業間の脅威情報共有の強化、および高度な検知技術の導入が含まれる。

この命令はまた、サイバーインシデントに対応するための標準化されたプレイブックの確立を義務付けており、連邦政府機関がインシデント発生時に迅速かつ効果的に対応できるよう、十分な準備を整えている。

サイバーセーフティ検討委員会の設置方法

大統領令のもうひとつの革新的な側面は、サイバー安全審査委員会の設立である。この委員会には政府と民間部門の代表が参加し、重大なサイバーインシデントを検証し、そこから学ぶことを任務とする。

この委員会は、国家運輸安全委員会のような機能を持ち、主要なサイバーセキュリティ・インシデントの詳細な分析を行い、将来同様のインシデントを防止するための提言を行う。この共同作業を通じて、サイバーセキュリティ分野における継続的な学習と改善の文化を醸成することを目的としている。

大統領令14028の遵守方法

米国政府の請負業者が、サイバーセキュリティの実践を大統領令14028に合わせるために講じることができるいくつかのステップを紹介する。

レスポンス・プレイブックを作成する

この命令の重要な要件の一つは、サイバーインシデントに対する標準化された対応プレイブックを作成することである。このプレイブックには、対応チームの役割と責任、通信プロトコル、インシデントの調査と緩和の手順など、サイバーインシデントが発生した場合に取るべき手順が詳述されていなければならない。

サードパーティ製ソフトウェアにはソフトウェア部品表（SBOM）を使用し、開発中のソフトウェアにはSBOMを提供する。

もう一つの要件は、ソフトウェア部品表（SBOM）の作成とレビューである。SBOMは、ソフトウェア製品で使用されるツールやライブラリを含むコンポーネントの詳細なインベントリであり、ソフトウェアのサプライチェーンに透明性を提供する。

この命令は、組織が開発するソフトウェアのSBOMを作成し、使用するサードパーティ製ソフトウェアのSBOMをレビューして、潜在的な脆弱性を特定し、適切な是正措置を講じることを求めている。このプロセスは、ソフトウェアのサプライチェーンのセキュリティを確保するために極めて重要である。

ファイル整合性監視プロセスの導入

この命令はまた、強固なファイル整合性監視（FIM）プロセスの実施を義務付けている。FIMは、セキュリティ侵害を示す可能性のある変更がないかファイルを監視する、重要なサイバーセキュリティの実践である。

堅牢なFIMプロセスやソリューションを導入することで、組織は重要なファイルに対する不正な変更を迅速に検出し、それに応じて対応することができる。

ゼロ・トラスト・アーキテクチャーまたはソリューションの導入

最後に、ゼロ・トラスト・アーキテクチャーまたはソリューションの導入が求められている。ゼロ・トラストとは、場所やネットワークに関係なく、どのユーザーやデバイスもデフォルトでは信頼できないとするセキュリティ・モデルである。

ゼロ・トラスト・アーキテクチャーを導入することで、組織はサイバーセキュリティの防御を大幅に強化し、内部からの脅威と外部からのサイバー攻撃の両方のリスクを効果的に軽減することができる。

Exabeamによる米国連邦セキュリティ基準への準拠

Exabeam では、製品の製造方法から事業の運営方法まで、あらゆる面で信頼が基盤となっています。

Exabeam AI-driven Security Operations Platformは、コンプライアンスと脅威検知のユースケースのために、各アプリケーションチームが監査ログにイベントを送信できる一元的なメカニズムを提供します。ユーザーは契約期間中、監査イベントを保存し、他のサードパーティログと同様にイベントを検索し、Exabeamプラットフォームでアクションを実行します。コンプライアンス違反のイベントを検出するために監査ログとの相関ルールを設定したり、監査ログイベントを含むイベントストア内のあらゆるイベントをダッシュボードに設定することができます。

監査ログは、組織内のユーザー、オブジェクト、設定のイベントを表します。すべての Exabeam ユーザーに関連する特定のイベントが記録され、ユーザー・インターフェイス内のアクティビティや設定アクティビティも含まれます。Exabeam はすべての監査ログを保存し、監査ログの検索やエクスポートに使用できる検索インターフェイスを提供します。これは、ダッシュボードでの可視化やエクスポートとともに、公式な監査のためのアクティビティをレビューする際に特に役立ちます。